Whaller | Réglementation numérique

contexte

Un paysage réglementaire en pleine accélération

En l'espace de quelques années, l'Union européenne et la France ont profondément remodelé le cadre juridique qui s'applique aux outils numériques utilisés par les organisations. RGPD, NIS2, DORA, CRA, SREN, REC… chaque texte pose de nouvelles obligations et renforce les responsabilités des directions, des DSI et des RSSI.

Ces réglementations ne sont pas des contraintes à subir : elles sont le reflet d'une prise de conscience collective sur les risques liés à la dépendance technologique et à la souveraineté numérique. Choisir Whaller, c'est choisir une plateforme pensée pour y répondre de façon native.

2018

RGPD

Cadre de référence européen pour la protection des données personnelles.

2023

SREN

Loi française encadrant le numérique, cloud souverain et marchés publics.

2024-2025

NIS2 ∙ DORA ∙ REC

NIS2 élargit la cybersécurité à 18 secteurs. DORA impose la résilience financière. La directive REC renforce la résilience physique des entités critiques.

2025

CRA ∙ AI Act

Le CRA impose des exigences de cybersécurité aux produits numériques dès leur conception.

chiffres clés

Pourquoi agir maintenant ?

20M€

Amende max RGPD ou 4 % du CA mondial.

18

Secteurs critiques couverts par NIS2 (vs 7 pour NIS1).

+22 000

Entités financières soumises à DORA en Europe.

72h

Délai max pour notifier une violation de données.

textes clés

Chaque réglementation, une réponse Whaller

Whaller intègre nativement les exigences des principaux textes réglementaires européens et français. Voici comment.

Règlement UE 2016/679

RGPD

Règlement Général sur la Protection des Données

● En vigueur depuis mai 2018

Le RGPD encadre la collecte, le traitement et la conservation des données personnelles de tout résident européen. Il impose des principes de minimisation, de finalité et de transparence aux responsables de traitement.

👉 Learn more

Directive UE 2022/2555

NIS2

Network and Information Security — Version 2

● Transposée · En vigueur 2024

NIS2 étend les obligations de cybersécurité à 18 secteurs critiques (énergie, santé, transports, administrations publiques, etc.) et impose des mesures de gestion des risques, de signalement d'incidents et de sécurité de la chaîne d'approvisionnement.

👉 Learn more

Règlement UE 2022/2554

DORA

Digital Operational Resilience Act

● En vigueur depuis janvier 2025

DORA impose aux entités financières (banques, assurances, fonds, PSP…) un cadre de résilience opérationnelle numérique : gestion des risques ICT, tests de résilience, reporting d'incidents, gouvernance des tiers et des fournisseurs cloud.

👉 Learn more

Règlement UE 2024/2847

CRA

Cyber Resilience Act

● Adoption 2024 · Application progressive 2025–2027

Le CRA impose des exigences de cybersécurité tout au long du cycle de vie des produits et logiciels comportant des éléments numériques : sécurité by design, gestion des vulnérabilités, transparence et déclaration d'incidents.

👉 Learn more

Loi n° 2024-449 · France

SREN

Loi Sécuriser et Réguler l'Espace Numérique

● Promulguée mai 2024

La loi SREN adapte le cadre juridique français aux enjeux du numérique : cloud souverain pour les administrations, lutte contre les cybermenaces, protection des mineurs en ligne, encadrement des plateformes. Son article 31 concerne directement les marchés publics numériques.

👉 Learn more

Droit américain · Risque extraterritorial

Cloud Act & FISA

Clarifying Lawful Overseas Use of Data Act · Foreign Intelligence Surveillance Act

● En vigueur · Risque permanent

Le Cloud Act (2018) et le FISA autorisent les autorités américaines à accéder aux données hébergées par des entreprises soumises au droit américain, y compris leurs filiales étrangères — sans notification préalable. Cela concerne les solutions des GAFAM, même hébergées en Europe.

👉 Learn more

Directive UE 2022/2557

REC

Résilience des Entités Critiques

● En vigueur · Transposition oct. 2024

La directive REC renforce la résilience physique, organisationnelle et numérique des entités critiques dans 11 secteurs stratégiques (énergie, santé, transports, administrations, infrastructures numériques…). Toute entité critique au sens de la REC est automatiquement qualifiée d'entité essentielle sous NIS2.

👉 Learn more

analyse détaillée

Ce que chaque texte exige, ce que Whaller garantit

Pour chaque réglementation : les exigences clés et les réponses apportées par Whaller.

Ce que le RGPD impose

Licéité, loyauté et transparence du traitement des données
Limitation des finalités et minimisation des données collectées
Durées de conservation définies et respectées
Droits des personnes : accès, rectification, effacement, portabilité
Notification obligatoire en cas de violation (72h à la CNIL)
Nomination d'un DPO et tenue d'un registre des traitements
Privacy by design et by default dès la conception
Encadrement des transferts hors UE (clauses contractuelles types)

Ce que Whaller garantit

DPA (Accord de traitement des données) disponible et signable
Registre des traitements structuré et communiqué aux clients
Fonctionnalités de suppression et d'export de données intégrées
Hébergement 100 % France — aucun transfert hors UE
Chiffrement AES-256 au repos, TLS 1.3 en transit
CNIL : aucune injonction de transfert possible en dehors du droit français
Notification d'incident dans les 72h assurée contractuellement

Ce que NIS2 impose

Analyse et gestion des risques de cybersécurité
Mesures de sécurité proportionnées aux risques identifiés
Notification d'incidents significatifs dans les 24h
Plan de continuité et de reprise d'activité
Sécurisation de la chaîne d'approvisionnement ICT
Gouvernance et responsabilité au plus haut niveau
Application élargie à 18 secteurs critiques

Ce que Whaller garantit

Hébergement souverain 100 % France (OVHcloud)
CSIRT Whaller pour notification et gestion des incidents
Chiffrement AES-256 au repos, TLS 1.3 en transit
MFA obligatoire via Whaller DONJON
Journalisation horodatée, consultable et exportable
Offre Whaller RÉSILIENCE (PCA-PRA)
Conformité documentée et appui RSSI / juridique

Ce que DORA impose

Gouvernance des risques ICT au niveau du conseil
Gestion des risques liés aux prestataires ICT critiques
Tests de résilience opérationnelle (TLPT)
Reporting d'incidents majeurs aux autorités
Continuité des activités financières numériques
Contrats et clauses avec les fournisseurs cloud
Cartographie et inventaire des actifs ICT

Ce que Whaller garantit

Qualification SecNumCloud 3.2 par composition (SaaS + IaaS)
DPA et clauses contractuelles alignées DORA
Hébergement France, indépendance Cloud Act
CSIRT actif et procédures de notification
Chiffrement de bout en bout
Documentation pour audits et autorités de supervision
Chaîne fournisseurs transparente et documentée

Ce que le CRA impose

Sécurité by design et by default
Gestion des vulnérabilités sur tout le cycle de vie
Mises à jour de sécurité obligatoires
Déclaration d'incidents de cybersécurité
Documentation technique et notice utilisateur
Évaluation de conformité avant mise sur le marché
SBOM et traçabilité des composants numériques

Ce que Whaller garantit

Développement sécurisé et revues de code
CSIRT Whaller et gestion des vulnérabilités
Mises à jour continues et sécurisées
Chiffrement natif des données et fichiers
MFA et contrôle d'accès renforcé
Hébergement souverain français
Documentation sécurité accessible aux clients

Ce que la SREN impose

Cloud souverain pour les administrations
Obligations de sécurité pour les opérateurs numériques
Protection des mineurs en ligne
Encadrement des plateformes et modération
Marchés publics numériques (article 31)
Lutte contre les cybermenaces
Transparence des services numériques

Ce que Whaller garantit

Offre 100 % hébergée et opérée en France
Qualification SecNumCloud pour marchés sensibles
Immunité structurelle au Cloud Act
Cloisonnement et souveraineté des données
Accompagnement des acheteurs publics
Cybersécurité native et CSIRT Whaller
Conformité RGPD et export / suppression natives

Ce que la REC impose

Plan de gestion des risques pour entités critiques
Résilience physique et organisationnelle
Résilience numérique des systèmes critiques
Notification des incidents aux autorités
Cartographie des dépendances et interconnexions
Coordination avec les services d'urgence
Lien avec le statut d'entité essentielle sous NIS2

Ce que Whaller garantit

Hébergement France sur infrastructures OVHcloud
Offre Whaller RÉSILIENCE pour continuité d'activité
CSIRT et procédures de gestion de crise
Chiffrement et cloisonnement des données
SecNumCloud 3.2 ANSSI
Documentation pour autorités sectorielles
Alignement NIS2 pour entités critiques REC

vue synthétique

Tableau de conformité Whaller

Un récapitulatif des exigences réglementaires clés et du niveau de couverture de Whaller.

Exigence	RGPD	NIS2	DORA	CRA	SREN	REC	Couverture Whaller
Hébergement en France / UE	✔	✔	✔		✔	✔	100% OVHcloud France
Chiffrement des données	✔	✔	✔	✔	✔		AES-256 + TLS 1.3
Authentification forte (MFA)		✔	✔	✔	✔		MFA obligatoire Whaller DONJON
Gestion des incidents (notification)	✔	✔	✔	✔		✔	CSIRT Whaller actif
Continuité d'activité / PCA-PRA		✔	✔			✔	Offre Whaller RÉSILIENCE
Droits des personnes	✔						Export & suppression natifs
Qualification / certification tierce		✔	✔	✔	✔	✔	SecNumCloud 3.2 ANSSI
Indépendance extraterritoriale	✔	✔	✔		✔	✔	Cloud Act-free • 100 % FR
Gestion des fournisseurs tiers ICT	✔	✔	✔				Chaîne transparente documentée
Portabilité et réversibilité	✔		✔		✔		Export complet garanti

glossaire

Les termes clés expliqués

SecNumCloud

Qualification ANSSI

Référentiel de l'ANSSI qui qualifie les offres cloud selon des critères stricts de sécurité, souveraineté et indépendance. Whaller DONJON est la première plateforme communautaire qualifiée au niveau 3.2 (SaaS).

RGPD

Règlement UE 2016/679

Règlement Général sur la Protection des Données, applicable depuis mai 2018 dans toute l'Union européenne. Il protège les données personnelles des résidents UE et impose des obligations aux responsables de traitement et sous-traitants.

NIS2

Directive UE 2022/2555

Directive sur la sécurité des réseaux et des systèmes d'information, version 2. Elle étend les obligations de cybersécurité à 18 secteurs critiques, renforce la gouvernance et impose des exigences de notification d'incidents.

DORA

Règlement UE 2022/2554

Digital Operational Resilience Act, en vigueur depuis janvier 2025. Il impose aux entités financières un cadre unifié de gestion des risques ICT, de résilience opérationnelle et de supervision des fournisseurs tiers.

CRA

Règlement UE 2024/2847

Cyber Resilience Act. Premier règlement européen imposant des exigences de cybersécurité pour les produits comportant des éléments numériques tout au long de leur cycle de vie.

SREN

Loi française 2024-449

Loi Sécuriser et Réguler l'Espace Numérique, promulguée en mai 2024. Elle adapte le droit français aux enjeux du numérique : cloud souverain, marchés publics, protection des mineurs et lutte contre les cybermenaces.

Cloud Act

Droit américain • 2018

Loi américaine permettant aux autorités US d'accéder à des données hébergées à l'étranger par des entreprises soumises au droit américain. Incompatible avec le RGPD. Whaller, société française hébergée en France, est structurellement immunisée.

CSIRT

Computer Security Incident Response Team

Équipe dédiée à la réponse aux incidents de cybersécurité. Whaller dispose de son propre CSIRT pour la déclaration et la gestion des vulnérabilités affectant ses services.

REC

Directive UE 2022/2557

Directive sur la Résilience des Entités Critiques, transposée en octobre 2024. Elle renforce la résilience physique, organisationnelle et numérique des entités opérant dans 11 secteurs stratégiques (énergie, santé, transports, administrations, infrastructures numériques…). Toute entité critique au sens de la REC est automatiquement qualifiée d'entité essentielle sous NIS2.

notre engagement

Whaller, acteur de la souveraineté réglementaire

Au-delà de la conformité : un engagement politique et technique

Whaller ne se contente pas d'être conforme. L'entreprise participe activement aux débats qui façonnent le cadre réglementaire du numérique français et européen, devant le Parlement, dans les institutions, et au sein des écosystèmes de confiance.

Auditionné par la Commission des Lois de l'Assemblée nationale (février 2026)
Auditionné par la Commission d'enquête sur les dépendances de la France dans le numérique (avril 2026)
Membre du Pôle d'Excellence Cyber (PEC)
Partenaire de l'INAS (Institut National des Affaires Stratégiques)
Partenaire de Défense Angels
Signataire de la convention Whaller × Garde nationale - « Partenaire de la Défense nationale »

Ready to get started?

Whaller is available for free for up to 100 members with the Standard offer. Create your platform in 5 minutes and give it a go. 🙂

Schedule a demo