OpenKM comme plateforme de gestion documentaire pour soutenir la conformité à DORA, NIS2 et au RGPD

OpenKM comme plateforme de gestion documentaire pour soutenir la conformité à DORA, NIS2 et au RGPD

 Écrit para Ana Canteli le 13 mars 2026

Pourquoi ces réglementations finissent par aboutir à la gestion documentaire

En 2025-2026, de nombreuses organisations européennes sont passées d’un discours abstrait sur la « cybersécurité » à une focalisation sur la résilience opérationnelle, la preuve et l’auditabilité. La raison est structurelle : les cadres réglementaires de l’Union européenne[1] exigent que les organisations soient capables de démontrer — et pas seulement de déclarer — l’existence de contrôles, de processus et de registres vérifiables.

En pratique, DORA (pour le secteur financier), NIS2 (cybersécurité des entités essentielles et importantes) et le RGPD (protection des données à caractère personnel) convergent autour d’une exigence commune : gouvernance, traçabilité, gestion des risques, notification des incidents et continuité, le tout soutenu par une « documentation vivante ». Cela signifie disposer de politiques approuvées, de preuves d’exécution, de registres d’incidents, d’inventaires et de contrats avec des tiers, de contrôles d’accès, de règles de conservation, ainsi que de la capacité à retrouver rapidement l’information lorsqu’une autorité de contrôle ou un auditeur la demande.

C’est ici que la gestion documentaire cesse d’être un simple « archivage » pour devenir une véritable infrastructure de conformité : elle centralise l’information, applique des contrôles de sécurité et d’accès, automatise les workflows, préserve les preuves et maintient une piste d’audit cohérente. Dans cette approche, le référentiel documentaire devient l’endroit où se matérialise la preuve qu’un contrôle existe et fonctionne comme prévu.

Comment OpenKM transforme les obligations en preuves traçables

OpenKM est présenté comme un système de gestion documentaire intégrant des capacités clés pour gouverner le cycle de vie documentaire : contrôle des versions, métadonnées, automatisation, administration et recherche. Au niveau de la plateforme, l’accent est mis sur la sécurité au niveau du document, la journalisation des activités et les tâches automatisées, autant d’éléments directement utiles pour soutenir les preuves de conformité.

Du point de vue de la conformité, trois piliers techniques sont particulièrement pertinents :

• Sécurité et contrôle d’accès. OpenKM détaille des contrôles granulaires de permissions sur les dossiers, les documents et les enregistrements, la gestion des rôles, la prise en charge des communications SSL, ainsi que des capacités cryptographiques (chiffrement/déchiffrement) et de signature électronique. Cet ensemble de fonctionnalités aide à mettre en œuvre les principes de confidentialité et d’intégrité (article 32 du RGPD) et à maintenir une séparation des rôles dans des processus auditables.
• Auditabilité. La documentation officielle inclut un « Activity log » conçu pour un audit complet (audit trail), et l’offre commerciale elle-même met en avant la journalisation des opérations des utilisateurs comme composant central de la plateforme. En termes de conformité, cela facilite la réponse aux audits internes, aux audits réglementaires ou aux investigations, avec des traces cohérentes : qui a accédé à quoi, qu’est-ce qui a été modifié, quand, et dans quel contexte.
• Records management et conservation. OpenKM décrit une approche de type « file plan » avec classification, règles applicables, calendrier de conservation et sort final, avec des responsables définis. Ce type de fonctionnalité aide à aligner la conservation sur les besoins réglementaires (préservation des preuves) et sur les principes du RGPD tels que la limitation de la conservation et la gouvernance des données, à condition que des politiques internes cohérentes soient définies et appliquées.

Sur le plan opérationnel, et en cohérence avec la résilience et la continuité, la documentation OpenKM décrit des pratiques de sauvegarde et de restauration pour le référentiel comme pour la base de données, y compris des outils sous Linux (par exemple Duplicity et LFTP) et des procédures visant à protéger et rétablir le service. Ce point est particulièrement pertinent pour la continuité (NIS2) et la résilience opérationnelle (DORA), car il transforme la disponibilité en une capacité vérifiable soutenue par des preuves : procédures, journaux et tests de restauration.

En matière de disponibilité et de scalabilité, OpenKM documente également des options telles que la réplication d’instances (deux instances sur des serveurs différents) et la gestion du stockage par sharding disque. Dans certains scénarios, cela permet de concevoir des architectures plus résilientes et traçables, sous réserve d’une ingénierie de déploiement appropriée.

Modules et intégration : renforcer la preuve, l’interopérabilité et l’automatisation

Au-delà du cœur de la plateforme, OpenKM adopte une approche modulaire pour étendre ses capacités. Du point de vue de la conformité, certains modules répondent directement à des besoins courants.

Mail Archiver permet d’archiver en masse des e-mails dans le référentiel, avec des objectifs typiques tels que la préservation des preuves et une réponse plus rapide aux audits, y compris l’eDiscovery dans les litiges ou les enquêtes internes. Dans les environnements où la preuve « vit dans l’e-mail », cela réduit la dispersion et améliore la recherche ainsi que l’auditabilité.

Doc Request est conçu pour les échanges sécurisés avec des tiers (clients ou utilisateurs externes) : il décrit une réception sécurisée et chiffrée des documents, évitant de dépendre de l’e-mail comme canal de transfert, et permet la gestion de dossiers clients ainsi que le téléversement direct. Pour les organisations soumises à des obligations NIS2 ou RGPD, sortir la documentation sensible des chaînes d’e-mails constitue souvent une amélioration du contrôle et de la traçabilité, à condition que le processus soit bien conçu : qui demande, qui valide, qui conserve.

Automatic Metadata Extraction apporte de l’automatisation pour la classification, l’extraction de données et l’attribution de métadonnées — comme les dates, montants, numéros de facture ou autres informations pertinentes — avec intégration via web services ou API. En termes de conformité, cela peut réduire les erreurs de catalogage et accélérer la récupération des preuves lorsque les délais réglementaires sont exigeants, par exemple dans des audits ou des processus de notification d’incident.

Electronic Invoicing permet de stocker des factures en XML, de les valider via signature numérique, et de gérer téléchargements et notifications. Bien que son orientation soit comptable et documentaire, il fait souvent partie du périmètre que l’audit et le contrôle interne doivent tracer, en particulier lorsque la documentation sert de preuve de transaction et de conformité.

Au niveau de l’intégration, OpenKM décrit une API REST avec un large éventail de requêtes et la disponibilité de SDK (Java et .NET), positionnant la plateforme comme point d’intégration pour des applications tierces. C’est pertinent parce que, dans le cadre de DORA et NIS2, de nombreuses dépendances et pièces de preuve proviennent précisément des intégrations avec l’ITSM, l’ERP/CRM, les portails, les systèmes d’identité ou les environnements d’automatisation.

Et pour l’automatisation native, l’écosystème inclut OKMFlow, présenté comme un moteur de workflow intégré avec concepteur visuel, exécution au sein de la plateforme et orientation vers la traçabilité et l’efficacité. Du point de vue de la conformité, cela permet de transformer en flux auditables des processus tels que l’approbation des politiques, la collecte et la validation des preuves, l’onboarding ou les revues périodiques des fournisseurs TIC (DORA), ou encore les workflows documentaires avec règles de conservation définies.

Déploiement, services et la nuance essentielle concernant la « conformité » formelle

La manière dont la plateforme est déployée fait également partie de l’équation réglementaire. Ici, une nuance essentielle doit être explicitée : dans la documentation publique examinée et dans les supports techniques consultés, OpenKM décrit des fonctionnalités techniques — sécurité, audit, 2FA, antivirus, sauvegardes, etc. — mais cela ne constitue pas automatiquement une certification formelle de conformité à DORA, NIS2 ou au RGPD.

Autrement dit, il faut distinguer :

• La conformité ou la certification formelle, qui dépend d’audits, de la gouvernance organisationnelle, de processus, de contrats, de preuves et, le cas échéant, de vérifications par des tiers.
• Les capacités techniques du logiciel, qui aident à mettre en œuvre des contrôles, comme la piste d’audit, les rôles et permissions, l’authentification à deux facteurs, l’antivirus, les sauvegardes et les mécanismes de disponibilité.

Plus précisément, OpenKM documente et/ou décrit des contrôles techniques pouvant soutenir des exigences typiques de DORA et NIS2 : traçabilité (activity log), sécurité (rôles, permissions, SSL et chiffrement), renforcement de l’accès (2FA), protection antimalware (paramètres antivirus), continuité via des stratégies de sauvegarde/restauration, ainsi que des options de disponibilité telles que la réplication d’instances et le sharding.

Pour le RGPD, ces mêmes capacités aident à mettre en œuvre les principes de sécurité et de responsabilité : contrôle d’accès, traçabilité des opérations et gouvernance documentaire via les métadonnées, le versioning et la conservation. Mais le RGPD comprend aussi des obligations qui doivent être gérées au niveau organisationnel et contractuel, telles que la définition des bases juridiques, des durées de conservation, des procédures d’exercice des droits des personnes concernées, des évaluations de risques et — lorsqu’il y a des sous-traitants — des contrats ou DPA ainsi que des mécanismes de transferts internationaux. Le logiciel aide, mais ne remplace pas ces éléments.

Un exemple clair dans le cadre de DORA : même avec un référentiel documentaire robuste, la conformité au cadre des tiers TIC exige de maintenir un registre complet et actualisable des accords conclus avec des tiers afin qu’il puisse être utilisé dans le cadre de la supervision. La technologie peut faciliter la centralisation et la traçabilité des contrats ; l’obligation elle-même, en revanche, découle du cadre réglementaire et de la manière dont elle est gouvernée en interne.

En résumé, OpenKM ne certifie pas à lui seul la conformité. Ce qu’il peut faire — et c’est là sa valeur pratique —, c’est fournir une base technique solide pour opérationnaliser les exigences : transformer les politiques en preuves, les processus en workflows auditables, et les actifs documentaires en informations gouvernées et récupérables dans des délais opposables.