Méthodologie

Comment votre score de conformité est calculé

Velvyno affiche un score de conformité pour trois piliers réglementaires — RGPD, AI Act et facture électronique 2026. Nous avons choisi d'expliquer ici la méthode de calcul avec transparence : pour que vous compreniez d'où viennent les pourcentages, mais aussi pour que vous puissiez en évaluer les limites.

La formule en une phrase

Score final = Score du diagnostic + Bonus pour chaque document généré

Le diagnostic initial (6 questions) donne votre score de départ. Ensuite, à chaque document réglementaire que vous générez depuis le dashboard, des points s'ajoutent au pilier concerné.

Le score du diagnostic

Chaque pilier part d'un score de base, puis est ajusté selon vos réponses aux questions du diagnostic.

RGPD

Base : 30 points. Trois questions modifient ce score :

  • Collectez-vous des données personnelles ? — oui (fichiers clients) : −10, emails basiques : −10, incertain : −20, aucune donnée : sans effet
  • Avez-vous une politique de confidentialité ? — à jour : +30, datée : +10, non ou inconnue : −10
  • Avez-vous un registre des traitements ? — oui : +30, partiel : +15, non : sans effet, jamais entendu : −15

AI Act

Le score est déterminé directement par la question « Utilisez-vous des outils d'intelligence artificielle ? » :

  • Oui, régulièrement : 20
  • Occasionnellement : 40
  • Je teste / j'envisage : 50
  • Pas du tout : 75

Le score « Pas du tout » est plafonné à 75 (pas 95) pour trois raisons :

  • Article 4 AI Act — obligation de formation du personnel à l'IA, applicable à toute organisation depuis le 2 février 2025.
  • Article 5 AI Act — pratiques prohibées (reconnaissance émotionnelle au travail, notation sociale, etc.), applicables à tous.
  • IA « cachée » — fonctions intégrées à Microsoft 365, Google Workspace, outils de traduction, anti-spam ML. Ces usages restent à risque limité au sens AI Act, mais déclenchent l'article 4.

Facture-E

Le score dépend de la question « Comment gérez-vous votre facturation ? » :

  • Logiciel dédié (Pennylane, Sage…) : 75
  • Mon comptable gère tout : 55
  • Pas très organisé : 20
  • Excel / Word en PDF : 15

Avoir un logiciel plafonne le score à 75 car Velvyno ne peut pas vérifier automatiquement si votre outil est raccordé à une Plateforme Agréée (PA) — vous n'avez pas à être PA vous-même, mais à partir de septembre 2026 vous devrez recevoir vos factures via une PA. Les 25 points restants se gagnent en générant les mentions légales et les CGU adaptées à votre activité.

Les bonus par document généré

Chaque document réglementaire créé depuis le dashboard ajoute des points au pilier correspondant. Les bonus ne sont pas identiques car tous les documents ne pèsent pas pareil dans le risque juridique.

DocumentPilierBonus
Registre des traitementsRGPD+25
Politique de confidentialitéRGPD+20
Charte d'utilisation de l'IAAI Act+25
Inventaire des systèmes d'IAAI Act+20
Mentions légalesFacture-E+25
CGU / CGVFacture-E+20

Le registre des traitements donne plus de points (+25) que la politique de confidentialité(+20) car c'est une obligation directe de l'article 30 du RGPD, qui doit pouvoir être présenté à tout moment en cas de contrôle CNIL.

Nuance : l'article 30.5 prévoit une exemption pour les organisations de moins de 250 salariés, sauf traitement non occasionnel, traitement de catégories particulières (santé, biométrie…) ou condamnations. Presque toutes les TPE/PME qui gèrent des clients, de la paie ou des prospects sont donc concernées.

Diagnostic vs dashboard : pourquoi les bases diffèrent

Vous remarquerez peut-être que votre score sur la page /résultatsjuste après le diagnostic n'est pas identique à celui de votre dashboard après génération de documents. C'est volontaire.

  • Page résultats— photo à l'instant T de votre diagnostic. Scores bornés entre 5 % et 95 % pour refléter l'incertitude d'un simple questionnaire.
  • Dashboard— suivi vivant de votre conformité, documents générés inclus. Votre score de diagnostic sert de base, et chaque document ajoute ses points au pilier concerné. Une fois les 2 documents d'un pilier générés, celui-ci atteint au moins 92 %.

De plus, quand vous avez généré les deux documents d'un pilier (par exemple Registre + Politique pour le RGPD), un plancher de 92 % est appliqué à ce pilier. Les 8 % restants ne sont jamais atteints automatiquement — ils correspondent à la relecture par un juriste, toujours recommandée.

Le score global

Le score global affiché sur le dashboard et la page résultats est la moyenne arithmétique des trois piliers :

Global = (RGPD + AI Act + Facture-E) ÷ 3

Chaque score individuel est borné entre 5 % et 95 % sur la page résultats pour éviter les extrêmes. Sur le dashboard, un pilier dont les 2 documents sont générés atteint au moins 92 % — les 8 % restants correspondent à une relecture par un juriste, jamais attribuée automatiquement (cf. section précédente).

Un exemple concret

Marie tient une boulangerie artisanale, 2 salariées, pas d'IA, facturation papier. Elle fait le diagnostic puis génère deux documents RGPD.

Après le diagnostic

  • RGPD : 30 (base) + 10 (politique datée) − 10 (collecte clients) = 30
  • AI Act : réponse « Pas du tout » = 75
  • Facture-E : réponse « Excel / Word en PDF » = 15
  • Score global : (30 + 75 + 15) ÷ 3 = 40 %

Après génération de la politique de confidentialité (+20) et du registre (+25)

  • RGPD : 30 + 20 + 25 = 75
  • Plancher appliqué (les deux documents RGPD sont générés) → 92
  • AI Act : 75 (inchangé)
  • Facture-E : 15 (inchangé)
  • Score global : (92 + 75 + 15) ÷ 3 = 61 %

Le RGPD passe de 30 à 92 %, mais le score global reste à 61 % à cause des piliers non traités. C'est volontaire : le score global reflète l'équilibre entre les trois piliers, pas un seul bon pilier isolé.

Ce que le score mesure — et ce qu'il ne mesure pas

Le score Velvyno est un indicateur de maturité, pas une certification. Il sert à vous donner une vision claire des priorités, pas à remplacer un audit professionnel. Concrètement :

Pourquoi on n'affiche pas 100 %

Un score de 100 % supposerait que votre conformité est absolue, ce qu'aucun outil automatisé ne peut garantir. La conformité dépend de facteurs qu'on ne mesure pas :

  • L'application réelle des procédures par vos équipes
  • La mise à jour régulière des documents (les textes évoluent)
  • Les spécificités non couvertes par le diagnostic (transferts hors UE, données de santé, profilage…)
  • Une relecture par un juriste, toujours recommandée pour les activités à risque

Les limites assumées de la méthode

  • La question facturation est volontairement simplifiée.Cocher « j'ai un logiciel » ne garantit pas que ce logiciel soit une Plateforme Agréée homologuée par l'État.
  • Le score ne vérifie pas la qualité des documents existants. Si vous déclarez avoir une politique de confidentialité à jour, nous vous faisons confiance — nous ne pouvons pas auditer son contenu.
  • Les scores de base sont des seuils pédagogiques. Ils visent à vous faire agir sur les bons leviers, pas à produire une mesure scientifique du risque juridique.
  • La moyenne arithmétique du score global peut masquer un trou. Un score de 90 en AI Act et 30 en RGPD donne 60 de moyenne, alors que le trou RGPD reste un risque majeur à traiter en priorité.

Les sources réglementaires

La méthodologie s'appuie sur les textes suivants — tous les liens pointent vers les sources officielles (EUR-Lex, Légifrance, CNIL, impots.gouv.fr).

RGPD

Règlement (UE) 2016/679 du 27 avril 2016 et Loi Informatique et Libertés n° 78-17 du 6 janvier 1978 (modifiée par la loi n° 2018-493 et l'ordonnance n° 2018-1125). Articles clés pour le scoring : 5 (principes), 6 (licéité), 13-14 (information des personnes), 30 (registre des traitements), 32 (sécurité).

Autorité de contrôle en France : CNIL.

AI Act

Règlement (UE) 2024/1689 du 13 juin 2024, entré en vigueur le 1eraoût 2024. Application échelonnée selon l'article 113 :

  • 2 février 2025 — articles 4 (formation à l'IA du personnel) et 5 (pratiques prohibées). Applicable à tous les déployeurs.
  • 2 août 2025 — modèles d'IA à usage général (GPAI) et gouvernance.
  • 2 août 2026 — obligations principales des déployeurs d'IA à haut risque.
  • 2 août 2027 — IA à haut risque intégrée à des produits réglementés (annexe I).

Facture électronique

Ordonnance n° 2021-1190 du 15 septembre 2021, calendrier fixé par l'article 91 de la loi de finances pour 2024 (loi n° 2023-1322 du 29 décembre 2023), et décret n° 2022-1299 du 7 octobre 2022.

  • Septembre 2026 — réception obligatoire pour toutes les entreprises, émission pour grandes entreprises et ETI.
  • Septembre 2027 — émission pour TPE, PME et micro-entreprises.
  • L'obligation couvre l'e-invoicing (B2B domestique) et l'e-reporting (B2C et international), via une Plateforme Agréée.

Portail officiel : impots.gouv.fr.

Une question sur votre score ?

L'assistant IA peut vous aider à comprendre votre résultat et à prioriser vos actions.

Démarrer le diagnostic