# Conformité

Le module **Conformité** ou **Compliance** de Dastra permet de gérer la conformité réglementaire de manière structurée, traçable et auditable, en s’appuyant sur une architecture modulaire alignée avec les référentiels de conformité.

***

### Architecture du module Compliance

Le module repose sur une chaîne logique d’objets, depuis les référentiels réglementaires jusqu’aux preuves de conformité.

<figure><img src="/files/SgsH0CfrAZNDf08vKfvY" alt=""><figcaption></figcaption></figure>

#### Frameworks (Référentiels)

Exemples : RGPD, ISO 27701, ISO 27001, AI Act.

Un framework :

* définit le cadre réglementaire ou normatif,
* contient un ensemble d’exigences applicables.

***

#### Exigences (Requirements)

Les exigences représentent les obligations issues d’un framework.\
Exemples : contrôle des accès, gestion des habilitations, journalisation.

Chaque exigence :

* est rattachée à un framework,
* est évaluée lors des audits de conformité,
* est mise en œuvre via un ou plusieurs contrôles.

***

#### Contrôles (Controls)

Les contrôles décrivent **comment** une exigence est appliquée concrètement.\
Exemples : revue périodique des accès, procédure d’habilitation.

Un contrôle :

* met en œuvre une exigence,
* est lié à un ou plusieurs scénarios de risque,
* est vérifié à l’aide de tests.

***

#### Scénarios de risque (Risk scenarios)

Les scénarios de risque décrivent les événements redoutés.\
Exemple : accès non autorisé à des données sensibles.

Les contrôles permettent :

* de prévenir ou réduire ces risques,
* de démontrer les mesures de remédiation mises en place.

***

#### Tests

Les tests servent à vérifier l’efficacité des contrôles.\
Exemples : revue récurrente des accès, délégation de validation.

Un test :

* contrôle un ou plusieurs contrôles,
* produit des résultats mesurables,
* est appuyé par des preuves.

***

#### Campagnes de tests (Test campaigns)

Les campagnes permettent d’orchestrer les tests à grande échelle :

* envoi de campagnes aux équipes ou aux clients,
* collecte centralisée des réponses,
* suivi de l’avancement et des statuts.

***

#### Preuves (Evidences)

Les preuves démontrent la conformité.\
Exemples : politiques, procédures, rapports de revue d’accès.

Une preuve :

* est associée à un test,
* est utilisée lors des audits,
* garantit la traçabilité des contrôles.

***

#### Audits de conformité (Compliance audits)

Les audits permettent d’évaluer le niveau de conformité :

* audits internes,
* auto-évaluations,
* préparation aux audits externes.

Ils s’appuient sur :

* les exigences,
* les contrôles,
* les tests et preuves associées.

***

### Vision d’ensemble

Le module Compliance de Dastra permet ainsi de :

* structurer les exigences réglementaires,
* relier les obligations aux risques,
* prouver la conformité par des contrôles testés et documentés,
* préparer efficacement les audits et certifications.

### Principe multi-framework dans Dastra

Le module Compliance de Dastra est **nativement multi-framework**.

Cela signifie que :

* un même **framework** (RGPD, ISO, AI Act…) contient ses propres exigences,
* une **exigence** appartient à **un framework**,
* un **contrôle peut répondre à plusieurs exigences**, y compris issues de **frameworks différents**,
* les **tests et preuves** sont mutualisés et réutilisables.

Objectif : **éviter les doublons** et piloter la conformité de manière transverse.

***

### Relations clés entre les objets

* **Framework → Exigences** : 1 → N
* **Exigences ↔ Contrôles** : N ↔ N
* **Contrôles ↔ Tests** : N ↔ N
* **Tests → Preuves** : 1 → N
* **Contrôles → Scénarios de risque** : N ↔ N

Un même contrôle (ex. revue des accès) peut ainsi :

* satisfaire une exigence RGPD,
* satisfaire une exigence ISO 27001,
* réduire plusieurs scénarios de risque.

**Schéma explicatif**

<figure><img src="/files/bUdXdQUZtXpee0LRFglE" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://doc.dastra.eu/features/compliance.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.