Rapport sur les performances, y compris les critères de référence du secteur et les recommandations

Évalue la qualité de la gestion environnementale et la résilience de l'organisation en termes de risques climatiques.

Fournit des informations essentielles sur la performance environnementale de la cible et des recommandations pour améliorer votre prise de décision. 

Met en évidence la performance actuelle en matière d'environnement et de durabilité.

Fournit des conseils concrets sur les processus à mettre en place pour atteindre, et maintenir, un objectif net zéro.

 Prouve aux parties prenantes et aux investisseurs que vous respectez les normes du secteur.

Les audits ESG expliqués

Qui devrait utiliser les audits ESG de Vaultinum ?

100% online
1 seul compte pour toutes les solutions
Accès multi-utilisateur
Connexion multi-appareils

45 ans d'expérience
Collaboration avec des spécialistes de l'IT et de la cybersécurité


Certifié ISO27001 
Chiffrement automatique des données
Données stockées sur nos serveurs
Serveurs en Europe

Efficacité, expertise et sécurité : 3 promesses à tous nos clients.

Nos clients

Ils choisissent les audits ESG de Vaultinum

Simple, complet, concret

Comment fonctionne l'audit ESG de Vaultinum ?

Avez-vous besoin de plus d'informations sur nos audits ESG ?

Un audit ESG complet en ligne pour aider les organisations à évaluer leurs performances ESG et à créer un plan d'action pour améliorer leurs résultats.

Solution d'audit ESG en ligne | Vaultinum

RIA (AI Act) ou Règlement européen sur la Protection des Données Personnelles (RGPD) : quel cadre réglementaire appliquer à mon système d’IA ? 

Le RGPD va s’appliquer dès lors que des données personnelles sont traitées par une organisation, que ce soit à des fins de communication, commerciales ou analytiques.    

L’AI Act s’appliquera lorsqu’un système d’intelligence artificielle (SIA) est mis en œuvre,   

Ce règlement définit le système d’IA comme « un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels ». 

Les deux réglementations s’appliquent simultanément et sont complémentaires lorsqu’un système d’IA exploite des données personnelles. 

La suite de cet article détaille les bonnes pratiques à adopter pour garantir la conformité avec ces deux réglementations d’un SIA utilisant des données personnelles. 

Phase 1 : l’instauration d’une gouvernance dédiée 

En amont du développement d’un SIA, l'organisation qui porte le projet doit définir un cadre de gouvernance structuré et mettre en place un comité de pilotage pour assurer sa conformité avec le RGPD et le RIA tout au long du cycle de vie du projet. Ce comité aura pour mission d’évaluer les besoins liés à la création d’un SIA, de cartographier le traitement des données, d’établir un plan d’action et de contrôler la bonne mise en œuvre des recommandations juridiques.

Phase 2 : déterminer les rôles et responsabilités de chaque partie prenante 

Le développement et l’exploitation d’un SIA peuvent amener différentes typologies d’acteurs à intervenir sur le projet. Des développeurs, des éditeurs, des utilisateurs finaux, des fournisseurs de données d’entraînement… : il conviendra de déterminer pour chaque étape du cycle de vie du projet le rôle et la responsabilité de chacun dans le traitement des données. Une analyse détaillée du cycle de vie du SIA sera donc nécessaire pour attribuer à chaque intervenant le rôle de responsable de traitement ou celui de sous-traitant sur chacune des étapes du projet : développement, entraînement, déploiement et exploitation. 

Prenions un exemple concret. Si un SIA est élaboré selon un cahier des charges défini par un client pour un usage interne, ce dernier sera vraisemblablement le responsable de traitement, tandis que l’équipe chargée de développer le SIA agira en qualité de sous-traitant. Dans le cas contraire, où la conception et les fonctionnalités d’un SIA sont développées par une entreprise en vue d’être commercialisé « on shelf », l’entreprise sera considérée comme responsable du traitement des données sur les phases de conception et d’entraînement. 

Phase 3 : la détermination de la finalité du traitement au titre du RGPD 

L’article 5 du RGPD fixe les principes clés relatifs au traitement des données personnelles. Toute utilisation de données personnelles doit en effet répondre aux critères de licéité, de limitation à ce qui est strictement nécessaire, de proportionnalité et de transparence, permettant aux individus dont les données sont utilisées de modifier de retirer leur consentement. L’usage des données doit être encadré par une finalité clairement définie. Celle-ci peut être identique tout au long du cycle de vie du SIA ou évoluer au cours de son développement et exploitation. 

Selon la Commission nationale de l’informatique et des libertés (CNIL), lorsque le développement d’un SIA est spécifiquement réalisé pour un client, les finalités de traitement sont généralement similaires en phase initiale et d’utilisation. À l’inverse, si un éditeur réemploie des bases de données existantes pour entraîner un modèle avant sa mise à disposition d’un client, la finalité peut différer entre ces deux étapes. 

Phase 4 : le choix de la base légale du traitement  

Une fois la finalité du système d’IA précisée, il faut également choisir une des bases légales telle que définies dans le RGPD pour le traitement des données personnelles. Le RGPD en prévoit quatre principales : le consentement, le contrat, l’intérêt légitime, l’obligation légale. Dans le cas du développement d’un SIA le choix de l’intérêt légitime peut s’avérer un choix judicieux sous réserve d’en respecter les principes imposés par le RGPD et le G29 : limiter les données utilisées au strict nécessaire, faciliter l’exercice des droits des personnes concernées ou s’assurer que le SIA ne présente pas de biais discriminants. 

L’exploitation de bases de données tierces requiert une vigilance accrue, notamment pour vérifier l’adéquation entre la finalité initiale de la collecte et l’usage ultérieur envisagé. Si cette compatibilité ne peut être démontrée, l’utilisation des données devient problématique. De façon générale, il est fortement recommandé lorsque des bases de données tierces sont utilisées de s’assurer au préalable que les données collectées ne contiennent pas d’informations sensibles et ont été constituées dans le respect du RGPD. 

Phase 5 : Informer les individus et faciliter l’exercice de leurs droits  

La transparence est un principe fondamental du RGPD. Les entreprises doivent donc mettre en place une véritable stratégie pour être en mesure de fournir aux personnes concernées des informations claires et accessibles sur le traitement de leurs données personnelles par les systèmes d’IA, et cela à chaque étape du traitement de ces données. 

Par ailleurs, afin d’être conformes au RGPD de ne pas encourir de sanction, les systèmes d’IA doivent également intégrer, dès leur conception, des fonctionnalités permettant aux utilisateurs d’exercer leurs droits d’accès, de rectification ou de suppression des données. 

Phase 6 : l’application des principes de minimisation et d’exactitude des données 

Pour être performants, les systèmes d’IA ont besoin traiter d’importants volumes de données, ce qui peut paraître contradictoire avec l’impératif de minimisation requis par le RGPD. Pour autant, dès lors que le système d’IA collecte et traite des données personnelles, il doit s’assurer que seules les informations strictement nécessaires sont collectées et exploitées. Par ailleurs le SIA doit pouvoir apporter des garanties sur deux autres principes : celui de l’exactitude des données et celui de leur fiabilité, afin d’éviter les biais. 

À cet effet, la CNIL suggère de mettre en place de bonnes pratiques, telles que : 

Mettre en œuvre des mécanismes de « pseudonymisation », d’agrégation ou de génération de données synthétiques,  

S’assurer que les données sont effacées lorsqu’elles ne sont plus utiles, 

Vérifier en continu que les données sont exactes à chaque étape du cycle de vie du SIA 

La mise en place conjointe de systèmes d’alertes automatiques et d’une supervision humaine pour évaluer la source des données et leur exactitude  

Phase 7 : la sécurisation des données dans les SIA 

La protection des données un point important du RGPD. Le non-respect des directives liées à la sécurité des données et à leur déclaration en cas de violation peut être sévèrement sanctionné. 

La protection des données passe par la mise en œuvre de mesures techniques et organisationnelles adaptées, parmi lesquelles figurent : 

La réalisation d’audits de sécurité réguliers. 

En cas de transferts de données en dehors de l’Espace économique européen, un encadrement contractuel est indispensable afin de garantir un niveau de protection équivalent à celui prévu par le RGPD. 

Lorsqu’un SIA présente des risques élevés, une analyse d’impact sur la protection des données (AIPD) devra être menée avant son déploiement. 

Instaurer une culture de la conformité et documenter les actions menées 

S’assurer de la conformité de son système d’IA aux RIA et au RGPD ne doit pas être la responsabilité d’un petit nombre mais bien une démarche collective soutenue par toutes les parties prenantes impliquées dans l’élaboration de ce SIA. Ainsi il est important que chaque acteur s’oblige à bien documenter les étapes du cycle de vie de l’IA, en y faisant figurer le type de données utilisées, les rôles et devoirs de chacun. Il est aussi recommandé de proposer des sessions de sensibilisation aux enjeux et pratiques du RIA et RGPD à chaque personne impliquée dans la collecte des données ou le développement sur SIA. 

Les opinions, présentations, chiffres et estimations présentés sur le site Web, y compris dans le blog, sont uniquement destinés à des fins d'information et ne doivent pas être considérés comme des conseils juridiques. Pour obtenir un avis juridique, vous devez contacter un professionnel du droit dans votre juridiction.

L'utilisation du contenu de ce site Web, y compris du blog, à des fins commerciales, y compris la revente, est interdite, sauf autorisation préalable de Vaultinum. La demande d'autorisation doit préciser le but et l'étendue de la reproduction. À des fins non commerciales, tout le matériel de cette publication peut être cité ou réimprimé librement, mais une reconnaissance est requise, ainsi qu'un lien vers ce site Web.

Avocate associée du cabinet TGS FRANCE AVOCATS, Audrey ARBUSA a développé une expertise spécifique en matière de contrats informatiques, d’e-commerce et de protection des données personnelles et exerce notamment la fonction de DPO externalisé.

Audrey ARBUSA

L’AI Act (ou RIA en Français) est entré en vigueur dans l’Union européenne le 1ᵉʳ août 2024 et sera mis en application progressivement sur une période de deux ans, s’étalant entre 2025 et 2027. Ce nouveau règlement vise à encadrer l’utilisation de l’intelligence artificielle (IA) dans l‘UE afin de protéger les libertés fondamentales des individus (notamment en interdisant le scoring des citoyens) et à classer les systèmes d’IA selon leur niveau de risque, en définissant des conditions d’utilisation pour chaque catégorie. 

Les systèmes d’IA ont besoin de millions de données pour s’entraîner et produire des résultats fiables, et peuvent être amenés, selon les usages prévus pour l’IA de se nourrir de données personnelles. Cette situation amène l’AI Act et le RGPD à s'appliquer conjointement. Les entreprises qui développent ou utilisent de l’IA doivent donc désormais se structurer pour assurer leur conformité avec ces deux réglementations 

L’IA doit-elle respecter le RGPD ? Découvrez comment articuler AI Act et RGPD pour assurer la conformité de vos systèmes d’intelligence artificielle.

AI Act & RGPD : les clés pour une IA conforme en Europe

Les systèmes d’intelligence artificielle doivent-ils se conformer au RGPD ?

Qu'est-ce que la Vendor Due Diligence Tech (VDD) ? 

Le terme "Vendor Due Diligence Tech" désigne une évaluation complète des actifs technologiques, des processus et de l'infrastructure d'une entreprise, réalisée du point de vue du vendeur et destinée à être présentée à des acheteurs potentiels. Cette forme de due diligence vise à fournir une analyse approfondie des capacités technologiques, de la santé des logiciels, de la propriété intellectuelle, des mesures de cybersécurité et de la conformité réglementaire liées à la technologie. Contrairement à la due diligence traditionnelle, qui est généralement initiée par l'acheteur après l'offre, la Vendor Due Diligence est mise en place de manière proactive par le vendeur avant que le processus de vente ne commence officiellement.

L'objectif principal de la Vendor Due Diligence est d'identifier et de rectifier les éventuels signaux d'alarme ou problèmes qui pourraient dévaloriser l'entreprise ou mettre en danger le processus de vente. Elle permet au vendeur de garder le contrôle sur le rythme et la structure du processus de vente, en présentant une vision claire et complète de la stature technique de l'entreprise aux acheteurs potentiels. Cette approche permet non seulement de renforcer l'attractivité de l'entreprise, mais aussi de rationaliser les négociations, de réduire le délai de conclusion de la vente et peut même aboutir à un prix de vente plus élevé.

Pourquoi de plus en plus d'entreprises entreprennent une VDD pour se préparer à une vente ? 

L'évolution vers des modèles d'entreprise centrés sur la technologie a fait de la Tech Vendor Due Diligence un élément essentiel du processus de fusion et d'acquisition. Aujourd'hui plus que jamais, les entreprises procèdent à la VDD pour plusieurs raisons stratégiques :

1. Complexité croissante de la technologie

La complexité croissante de la technologie dans les opérations commerciales nécessite une VDD solide pour s'assurer que tous les composants de la stack technologique d'une entreprise sont évalués de manière approfondie. Il ne s'agit pas seulement d'identifier l'état actuel, mais aussi de comprendre les risques potentiels et d'évaluer avec précision l'entreprise en termes de scalabilité, en particulier sur les marchés où la prouesse technologique est un facteur important.

La nécessité de la Vendor Due Diligence est encore soulignée par son potentiel de réduction des risques. Les enquêtes et les rapports du secteur indiquent que les opérations de fusion et d'acquisition faisant l'objet d'une due diligence détaillée sont moins susceptibles de voir apparaître des surprises post-acquisition[2]. Par exemple, les entreprises qui n'ont pas résolu les problématiques de cybersécurité ou de conformité peuvent être confrontées à une dévaluation ou à des complications juridiques après la conclusion de l'opération. Ces risques, s'ils ne sont pas gérés correctement, peuvent réduire considérablement la valeur d'une transaction.

En outre, une due diligence technologique complète, y compris la VDD, est souvent associée à des taux de réussite plus élevés dans les fusions et acquisitions. Des études menées par KPMG ont mis en évidence le fait qu'une grande majorité des opérations de fusion et d'acquisition n'améliorent pas le rendement pour les actionnaires, alors qu'une due diligence approfondie et proactive permettrait de l'améliorer[3]. L'identification et la résolution précoces des problèmes potentiels permettent de maintenir, voire d'augmenter la valeur de l'opération. 

4. Défis liés à l'intégration des technologies

Deloitte souligne qu'une mauvaise intégration, en particulier dans le domaine de la technologie, est l'une des principales causes de l'échec des fusions et acquisitions[4]. Une VDD efficace permet de dresser un état des lieux détaillé de l'environnement technologique, ce qui peut faciliter la planification et l'exécution des stratégies d'intégration. Cela permet non seulement d'aligner les opérations et les systèmes, mais aussi de s'assurer que les capacités technologiques de l'entreprise acquise sont effectivement exploitées.

Dans l'environnement concurrentiel du marché actuel, les vendeurs se tournent de plus en plus vers la VDD pour démarquer leur entreprise. Cette démarche stratégique permet non seulement de souligner que l'entreprise est prête à être acquise, mais aussi de présenter de manière transparente ses capacités technologiques et ses risques opérationnels. Ce niveau de transparence est particulièrement attrayant pour les acheteurs informés qui privilégient une vision détaillée de l'infrastructure technologique et du profil de risque d'un potentiel investissement.

Le déploiement stratégique de la Vendor Due Diligence ne prépare pas seulement une entreprise à un processus de transaction plus fluide, mais la positionne également comme une entité technologiquement solide et compétitive sur un marché encombré. En abordant ces aspects de manière proactive, les entreprises peuvent mieux gérer les attentes, atténuer les risques et améliorer leur potentiel de commercialisation auprès des acheteurs potentiels.

Vaultinum propose une solution innovante de Tech Vendor Due Diligence. Ce service est conçu pour fournir une analyse détaillée de l'environnement logiciel d'une entreprise, afin de l'aider à mieux comprendre et préparer son environnement technologique avant d'entrer sur le marché.

L'approche de Vaultinum comporte trois phases clés, à commencer par une due diligence technologique initiale axée sur l'évaluation approfondie de l'écosystème technologique. Elle est suivie d'une phase d'amélioration, au cours de laquelle les problèmes identifiés sont traités et des améliorations sont apportées pour renforcer la stature technologique de l'entreprise. Enfin, un rapport de vendor due diligence est élaboré en étroite collaboration avec les équipes techniques et commerciales.

Due Diligence technologique initiale (Focus Buy-Side) 

Cette phase sert d'analyse préliminaire dans l'infrastructure technologique de l'entreprise, couvrant des aspects allant de la cybersécurité et du développement de logiciels à la conformité GDPR et à la gestion de la propriété intellectuelle. Les informations recueillies au cours de cette phase sont essentielles pour identifier et rectifier les vulnérabilités potentielles, en veillant à ce que la base technologique de l'entreprise soit solide avant qu'elle ne soit présentée aux acheteurs potentiels.

En utilisant les données des évaluations initiales, Vaultinum identifie les domaines dans lesquels des améliorations technologiques peuvent être apportées. Cette amélioration proactive des pratiques technologiques garantit qu'au moment où l'entreprise entre dans la phase de VDD, sa stack technologique est non seulement optimisée, mais aussi alignée sur les meilleures pratiques et normes de l'industrie. Cette étape est vitale car elle contribue directement à augmenter la valeur marchande de l'entreprise et à la rendre plus attrayante aux yeux des acquéreurs potentiels.

Préparation du rapport de VDD et du rapport final

En s'appuyant sur les bases établies par les phases de Tech Due Diligence et d'amélioration, Vaultinum collabore étroitement avec les équipes techniques et M&A de l'entreprise pour élaborer un rapport solide de Vendor Due Diligence. Ce rapport ne se contente pas de documenter les prouesses technologiques de l'entreprise, il met également l'accent sur les domaines critiques en termes de scalabilité, de sécurité et de conformité.

Le rapport final de la Vendor Due Diligence est un portrait complet des capacités technologiques et de l'état de préparation de l'entreprise, et constitue un document clé dans la phase de négociation avec les acheteurs potentiels.

En conclusion, la Tech Vendor Due Diligence dépasse son rôle de checklist préliminaire pour devenir le socle de la planification stratégique des entreprises qui souhaitent prospérer dans un environnement concurrentiel de fusions et d'acquisitions.

En effet, à une époque où l'intégration des technologies est essentielle à la croissance et à la performance des entreprises, la VDD fournit aux vendeurs les outils nécessaires pour identifier et résoudre les problèmes potentiels avant qu'ils ne deviennent des obstacles dans le processus de négociation. Les entreprises peuvent ainsi éviter les écueils qui minent généralement la valeur des transactions, tels que les problèmes de conformité inattendus ou les difficultés d'intégration, préservant ainsi leur compétitivité sur le marché.

Pour les entreprises tournées vers l'avenir, le message est clair : la profondeur et la qualité de votre due diligence peuvent influencer de manière décisive la trajectoire de la croissance de votre entreprise et la réalisation de vos objectifs stratégiques.

CONTACTEZ-NOUS POUR PLUS D'INFORMATIONS SUR LA TECH VDD

[1] https://www.mckinsey.com/capabilities/m-and-a/our-insights/thoughtful-m-and-a-strategies-are-key-to-growth-in-tech-media-and-telecom

[2] https://www2.deloitte.com/us/en/blog/mergers-acquisitions-insights-news/2023/mergers-acquisitions-due-diligence.html and https://www.foley.com/insights/publications/2023/08/importance-due-diligence-m-a-transactions/ [3] https://kpmg.com/xx/en/home/services/advisory/deal-advisory.html 

[4] https://www2.deloitte.com/us/en/insights/industry/technology/software-mergers-acquisitions-value.html

Kristin est une avocate américaine agréée, spécialisée dans les domaines de la propriété intellectuelle et du droit des technologies. Elle est membre des commissions stratégique et juridique de Vaultinum, chargées de superviser et de mettre en œuvre les politiques et processus liés à la protection des actifs numériques.

Kristin A.

"En 2023, les logiciels représentaient 80 % de l'ensemble des fusions-acquisitions technologiques, soulignant leur rôle dominant dans le façonnement de la dynamique de l'industrie et mettant en évidence l'importance cruciale de l'intégration des évaluations technologiques dans les stratégies de fusions-acquisitions"[1]. (McKinsey & Company)

Les entreprises s'appuyant de plus en plus sur des technologies sophistiquées pour mener leurs activités, la nécessité de procéder à des évaluations approfondies avant la vente, connues sous le nom de "Vendor Due Diligence Tech" (VDD), s'est accentuée. Cette étape préparatoire permet non seulement de mettre en évidence les prouesses technologiques d'une entreprise, mais aussi de s'assurer que les risques potentiels sont pris en compte avant qu'ils n'aient un impact sur la valeur d'une transaction. Examinons de plus près la VDD, ce qu'elle est, pourquoi de plus en plus d'entreprises y ont recours et comment elle fonctionne en pratique.

Cet article explique ce qu'est la Vendor Due Diligence (VDD), pourquoi un nombre croissant d'entreprises l'adoptent, et ses multiples avantages dans un processus de vente d'une entreprise tech.

Qu'est-ce que la VDD et comment peut-elle augmenter la valeur d'une transaction ?

La Tech Vendor Due Diligence : étape essentielle pour maximiser la valeur d'un exit

Vaultinum

Due Diligence Technologique

Vendor Due Diligence Tech

Audit de Propriété Intellectuelle

Audit de Cybersécurité

Audit de Scalabilité

Dépôt Logiciel

Software Escrow

Solutions

Nos Solutions

Blog

Ressources

S'informer

A propos de nous

Contact

Changer la langue

Ce site utilise des cookies pour améliorer votre expérience utilisateur. d'achat. Vous pouvez en savoir plus sur la manière dont nous utilisons vos données, en consultant notre politique de confidentialité. 

Utilisez le plan du site pour trouver ce que vous cherchez sur le site Vaultinum et accédez directement aux rubriques souhaitées

Audit de la performance ESG

Qui devrait utiliser les audits ESG de Vaultinum ?

Pour les investisseurs

Pour toutes les organisations

Efficacité, expertise et sécurité : 3 promesses à tous nos clients.

Efficacité

Expertise

Sécurité

Ils choisissent les audits ESG de Vaultinum

Comment fonctionne l'audit ESG de Vaultinum ?

Avez-vous besoin de plus d'informations sur nos audits ESG ?

Derniers articles du blog