Conformité & Réglementation

NOVA dans le cadre légal

Un agent qui scanne, greffe, et agit automatiquement : comment ça se passe face aux régulateurs ? Réponse : mieux que les humains.

Les 3 principes qui protègent NOVA

Principe 1 — NOVA ne stocke rien sans permission

L'agent scanne le réseau et remonte une topologie, pas des données. Les données restent chez le client. Le cockpit affiche des métadonnées (nom du service, IP, ports, statut), pas le contenu. Si le client active un connecteur, les données transitent mais ne sont pas stockées par défaut. Le backup cloud est optionnel et chiffré de bout en bout.

Principe 2 — NOVA est auditable, pas opaque

Chaque action de Kenza est loggée, horodatée, et justifiée. Le rapport d'audit PDF est généré automatiquement. En cas de contrôle (ANSSI, CNIL, commissaire aux comptes), le client peut prouver exactement ce que NOVA a fait, quand, et pourquoi. C'est plus transparent qu'un admin humain qui fait des modifications en SSH sans tracer.

Principe 3 — NOVA est un outil, pas un responsable

NOVA agit comme un administrateur système automatisé. La responsabilité légale reste celle de l'exploitant, comme pour n'importe quel outil d'administration. Le contrat de licence définit clairement les limites : NOVA est un assistant, pas un décideur final. Le mode Autonome requiert une décharge explicite du client.

Les réglementations une par une

Ce qui s'applique, ce qui est couvert, ce qui reste à faire.

RéglementationQui est concernéImpact sur NOVAStatut
RGPD Toute entreprise en Europe NOVA ne collecte pas de données personnelles par défaut. Le scan réseau identifie des machines, pas des personnes. Les connecteurs ne synchonisent que les données explicitement autorisées. Le droit à l'oubli s'applique via le cockpit (1 clic = purge des logs). Conforme
NIS 2 Infrastructures critiques (énergie, santé, transport, telecom, etc.) NOVA est un atout pour NIS2 : elle fournit la surveillance continue, la détection d'incidents, et les rapports d'audit exigés par la directive. Les 6 tests de validation des connecteurs répondent aux exigences de gestion des risques. Conforme
Cyber Resilience Act Tout produit logiciel vendu en Europe (2027) Le CRA exige que les produits logiciels aient un cycle de sécurité documenté, des mises à jour garanties, et une notification des vulnérabilités. NOVA devra passer la certification. Le mode open source partiel (SDK, cockpit) est exonéré. Le cœur propriétaire (moteur de greffe) est soumis. En préparation
DORA Secteur financier (banques, assurances) DORA exige des tests de résilience opérationnelle. Le connecteur "Test de résilience" de NOVA répond directement à cette exigence. La facturation à l'acte permet de tracer le coût de la conformité. Conforme
HDS Données de santé en France Si NOVA traite des données de santé (connecteur DICOM/HL7), l'hébergement doit être certifié HDS. Solution : le cockpit cloud peut être hébergé chez un provider HDS, ou le client utilise la box Pro en local (pas d'hébergement tiers). Optionnel (box Pro)
ISO 27001 Toute organisation certifiée NOVA fournit les logs, la traçabilité, et les rapports d'audit qui alimentent le SMSI. Le cockpit peut servir de tableau de bord ISO 27001. 0DATA vise la certification ISO 27001 elle-même. Compatible
eIDAS 2.0 Identification électronique en Europe Le connecteur ProConnect est compatible eIDAS 2.0. L'authentification du cockpit utilise des standards ouverts (OIDC, SAML). Conforme
ANSSI Secteur public et OIV en France Pour vendre à l'État français, NOVA doit obtenir une qualification ANSSI. C'est un processus long (12-24 mois) et coûteux (~100K€). À déclencher quand le produit est mature. En attendant, le marché privé n'est pas bloqué. Phase 3 (2027-2028)

Questions de responsabilité

⚖️ Que se passe-t-il si Kenza fait une erreur ?
Le contrat de licence définit NOVA comme un outil d'assistance à l'administration, pas comme un prestataire responsable. Comme un admin humain qui fait une erreur, c'est l'exploitant qui est responsable. Le mode Actif (validation humaine) réduit ce risque à quasi-zéro. Le mode Autonome requiert une décharge signée. Les logs complets permettent de déterminer la cause en cas d'incident.
🔐 Les données du client sont-elles accessibles par 0DATA ?
Non. L'agent scanne le réseau local et remonte des métadonnées. Les données métier ne transitent par le cockpit cloud que si le client active un connecteur. Le mode box Pro élimine même ce flux : tout reste local. Le chiffrement est de bout en bout (TLS 1.3). 0DATA n'a pas les clés de déchiffrement des données client.
🧬 À qui appartiennent les connecteurs auto-générés ?
Au client qui les a générés. Le connecteur est créé sur son infrastructure, pour son usage. S'il choisit de le publier sur la marketplace communautaire, il en garde la paternité. 0DATA ne revendique pas la propriété des connecteurs créés par les clients.
👤 Kenza remplace-t-elle des emplois ?
Kenza remplace les tâches répétitives, pas les gens. Elle libère l'admin de la surveillance passive pour qu'il se concentre sur l'architecture, la stratégie, l'innovation. C'est le même débat qu'avec l'arrivée de l'automatisation industrielle : les métiers évoluent, ils ne disparaissent pas. 0DATA crée même un nouveau métier : Biotechicien d'Infrastructure.

Roadmap conformité

2026
RGPD · NIS2 · DORA · ISO 27001 ready
2027
Cyber Resilience Act · HDS optionnel
2028
Certification ANSSI · qualification OIV