Vous êtes en réunion d’achat. La deadline est courte, tout le monde veut avancer. Et on vous demande : « On signe ? »
À ce moment-là, votre rôle en tant que DPO n’est pas de ralentir, c’est de sécuriser la décision.
Et pour ça, vous n’avez pas besoin d’un audit de 30 pages. Vous avez besoin d’un filtre simple, utilisable en 60 secondes.
La méthode : 3 questions, 3 catégories
Écoutez les réponses du prestataire et classez-les en trois catégories : clair, flou, ou incohérent.
1. La question d’accès
Est-ce qu’on vous explique clairement qui accède aux données et comment c’est contrôlé ?
Un prestataire sérieux doit être capable de nommer les rôles qui ont accès aux données, et de décrire les mécanismes de contrôle en place : logs, habilitations, revues d’accès. Si la réponse est vague ou générique, c’est un signal.
2. La question d’incident
Est-ce qu’on vous dit qui vous alerte, sous quel délai et avec quel point de contact ?
En cas de violation de données, le RGPD impose une notification à la CNIL dans les 72 heures. Votre prestataire doit avoir un processus clair : une personne identifiée, un canal de communication défini, un délai contractualisé. Sans ça, vous serez le dernier informé et le premier responsable.
3. La question de sortie
Est-ce qu’on vous décrit comment vous récupérez vos données et comment elles sont supprimées à la fin ?
La portabilité et l’effacement des données ne sont pas des détails contractuels optionnels. C’est la preuve que le prestataire a réellement pensé au cycle de vie de vos données et pas seulement à l’onboarding.
Comment interpréter les réponses
Vous n’êtes pas en train de chercher la perfection. Vous cherchez des réponses compréhensibles, cohérentes et documentées.
Clair :
Vous avancez.
Flou :
Vous mettez pause et demandez une clarification écrite.
Incohérent
: Vous stoppez. L’incohérence aujourd’hui devient une crise demain.
Pourquoi ce filtre change tout
Ce n’est pas qu’un outil de DPO. C’est un langage commun.
En posant ces trois questions de manière systématique, vous alignez les équipes achats, métier et conformité sur une même grille de lecture. Plus de tension entre « on veut signer » et « on doit vérifier » tout le monde évalue les mêmes signaux.
Un prestataire qui répond clairement à ces trois points mérite votre confiance provisoire. Un prestataire qui bute sur les trois est un risque que vous n’avez pas à prendre.
Vous souhaitez structurer vos pratiques et former vos équipes ? Chez Actecil, la conformité, ça s’apprend. Contactez-nous.
Sous-traitance : la certification n’est pas suffisante
« Le prestataire est certifié ISO 27001, on est couverts. » C’est une phrase que l’on entend dans presque toutes les réunions de gouvernance IT. La certification rassure, on coche la case, et le dossier est classé. Jusqu’au jour où l’incident survient.
Inscrivez-vous à notre newsletter mensuelle pour rester à jour sur l'actualité RGPD & Cybersécurité, et retrouvez nos conseils et bonnes pratiques.
Pour plus d’information sur le traitement de vos données personnelles ou exercer vos droits, merci de prendre connaissance de notre Politique de confidentialité ou contactez notre DPO à l’adresse dpo@actecil.fr.
Télécharger le catalogue
Recevez le catalogue par e-mail
Dans le cadre de sa démarche d’accompagnement, ACTECIL ACADEMY vous propose de vous envoyer directement par email notre catalogue de formations. Simple et efficace, en quelques clics, le document est dans votre boîte email.
