Qu’est-ce que DORA et NIS2?
DORA établit des règles visant à renforcer la résilience opérationnelle numérique des entités financières dans l’Union Européenne ("UE"). Son objectif est de garantir que les institutions financières puissent résister, répondre et se remettre des atteintes portées aux technologies de l’information et de la communication qui les sous-tendent (« TIC »).
NIS2 étend les obligations existantes en matière de cybersécurité à un plus large éventail de secteurs afin d’atteindre un niveau élevé de cybersécurité au sein de l’UE, exigeant que les entités « essentielles » et « importantes » maintiennent des mesures techniques et organisationnelles robustes.
Les deux régimes juridiques renforcent la sécurité et la résilience des operations numériques et des chaînes d’approvisionnement au sein de l’UE, tout en améliorant la coopération entre les entités et les régulateurs.
DORA ou NIS2 s’applique-t-elle à Coveo?
Coveo offre une plateforme de recherche SaaS cloud axée sur la pertinence des résultats fournis et sous-tendue par l’IA, à destination des entreprises.
En vertu de DORA, Coveo est considérée comme un fournisseur tiers de services TIC. Toutefois, les Services hébergés de Coveo ne sont généralement pas destinés à soutenir des « fonctions critiques ou importantes » (« FCI ») telles que définies par DORA. Coveo ne figure donc pas sur la liste des fournisseurs tiers critiques de services TIC publiée par l’Autorité bancaire européenne le 18 novembre 2025.
En vertu de NIS2, Coveo peut être considérée comme une entité importante fournissant des services numériques dans l’UE.
Comment Coveo répond-elle aux exigences de DORA et NIS2?
Les politiques et pratiques internes de sécurité et de confidentialité de Coveo sont alignées sur les principes de gestion des risques, de résilience opérationnelle et de capacité de réaction aux incidents de DORA et NIS2.
Les principales mesures comprennent:
- Transparence contractuelle: L’EC de Coveo, l’Accord de traitement des données (« ATD ») et l’Annexe de sécurité (« AS ») décrivent les Services hébergés, les niveaux de service, la gestion des incidents, le lieu d’hébergement des données (l’ATD précise où les données clients sont traitées, comment elles sont protégées, transférées et comment les clients peuvent y accéder ou les supprimer), ainsi que les droits d’audit des clients.
- Mesures de sécurité: Chiffrement des données au repos et en transit, contrôles d’accès (gestion des accès basée sur les rôles), surveillance des systèmes, gestion des vulnérabilités et tests de pénétration indépendants annuels pour les Services hébergés.
- Gestion des incidents: Un plan écrit de réponse aux incidents de sécurité incluant les obligations de notification aux régulateurs et aux clients, le cas échéant.
- Sensibilisation et gouvernance: Formation régulière des employés à la sécurité adaptée à leurs fonctions et amélioration continue du programme.
- Gestion des fournisseurs: Diligence raisonnable et contrôles contractuels sur les sous-traitants, notamment via un ATD dédié avec des obligations spécifiques de notification.
- Certifications et assurance: Certifications SOC 2 Type II et ISO 27001, 27017, 27018 et 27701.
- Coopération: Coveo soutient la conformité et l’engagement réglementaire de ses clients, y compris lorsque la coopération avec les autorités compétentes est requise.
Où puis-je trouver plus d’informations?
Il est possible de visiter le Trust Center et le Centre de ressources juridiques de Coveo pour obtenir de la documentation sur la sécurité, la conformité et la protection des données de Coveo.
Des informations supplémentaires sont également disponibles dans la documentation en ligne de Coveo, dans les sections Conformité (« Compliance ») et Sécurité (« Security »).
Pour plus d’informations ou pour demander des conditions contractuelles spécifiques liées à DORA, veuillez contacter votre représentant de compte Coveo.