🔄 Vous avez un diagnostic en cours.

Étape 1 sur 3

Votre profil

Ces informations déterminent quelles réglementations s'appliquent à votre structure.

Secteur d'activité

Nombre de salariés

Paramètres supplémentaires

Vous traitez des données sensibles (santé, judiciaire, biométrie)

Vous utilisez des prestataires informatiques ou cloud

Vous avez un site web

Vous faites de la prospection par email

Que souhaitez-vous évaluer ? — décochez ce que vous voulez ignorer

Étape 2 sur 3 — RGPD

Conformité RGPD

Le RGPD s'applique à toutes les structures qui traitent des données personnelles. Cochez tout ce que vous avez mis en place.

RGPD — Art. 30

Avez-vous établi un registre de vos activités de traitement de données ?

J'ai un registre des traitements formalisé Il est à jour et couvre l'ensemble de mes traitements Il mentionne la base légale et les durées de conservation pour chaque traitement Rien de tout ça

RGPD — Art. 6

Pour vos traitements de données, avez-vous identifié une base légale (contrat, consentement, intérêt légitime, obligation légale) ?

J'ai identifié une base légale pour chacun de mes traitements Quand j'utilise le consentement, j'en conserve une preuve (case datée, formulaire…) Je sais distinguer ce qui relève du contrat, de l'intérêt légitime ou du consentement Rien de tout ça

RGPD — Art. 13/14

Informez-vous les personnes dont vous collectez des données sur l'usage qui en est fait ?

Via une politique de confidentialité sur mon site web Via des mentions dans mes contrats ou formulaires Ces documents ont été mis à jour récemment Rien de tout ça

RGPD — Art. 15-22

Comment gérez-vous les demandes des personnes sur leurs données (accès, rectification, effacement, portabilité) ?

J'ai une procédure pour traiter ces demandes Je connais le délai légal de réponse (1 mois) J'ai un canal identifié pour recevoir ces demandes (email dédié, formulaire…) Rien de tout ça

RGPD — Art. 32

Quelles mesures de sécurité avez-vous mises en place pour protéger les données personnelles ?

Les données sont chiffrées (stockage et/ou transit) Les accès sont contrôlés et limités aux personnes habilitées Des sauvegardes régulières sont réalisées Ces mesures sont documentées Mes collaborateurs ont reçu une formation sur la protection des données (RGPD) Les accès aux données personnelles sont journalisés (qui accède à quoi et quand) Rien de tout ça

RGPD — Art. 33/34

Disposez-vous d'une procédure en cas de violation de données personnelles ?

J'ai une procédure documentée de gestion des violations Elle prévoit la notification à la CNIL sous 72h Elle prévoit l'information des personnes en cas de risque élevé Je tiens un registre des violations survenues Rien de tout ça

RGPD — Art. 5

Avez-vous défini des durées de conservation pour vos données ?

Des durées de conservation sont définies par catégorie de données Une procédure de suppression ou d'archivage est appliquée en pratique Rien de tout ça

RGPD — Art. 5

Veillez-vous à maintenir vos données exactes et à jour ?

J'ai un processus pour maintenir mes données à jour et corriger les erreurs Les personnes concernées peuvent facilement demander la correction de leurs données Rien de tout ça

RGPD — Art. 44-49

Quels outils utilisez-vous pour stocker ou traiter des données personnelles ?

Microsoft 365 / Azure Google Workspace Salesforce / HubSpot / CRM cloud US Slack / Teams / autres outils collaboratifs cloud Hébergement local uniquement (serveur on-premise, pas de cloud US)

RGPD — Art. 44-49 (Schrems II)

Pour ces outils, avez-vous encadré le transfert de données vers les États-Unis ?

Même hébergées en UE, vos données peuvent être accessibles depuis les États-Unis (CLOUD Act). L'arrêt Schrems II a invalidé le Privacy Shield : seuls les nouveaux SCCs (2021), parfois complétés d'une analyse d'impact, encadrent ces transferts.

J'ai vérifié que les contrats incluent les clauses contractuelles types (SCCs) post-Schrems II J'ai réalisé ou demandé un Data Transfer Impact Assessment (DTIA) pour les outils critiques Je ne sais pas si mes données sont accessibles depuis les US, ou je n'ai rien encadré

RGPD — Art. 28

Avez-vous encadré vos prestataires qui traitent des données pour votre compte ?

J'ai identifié tous les prestataires traitant des données personnelles pour moi J'ai signé un DPA (Data Processing Agreement) avec chacun d'eux Rien de tout ça

RGPD — Art. 28 (sous-traitant)

Avez-vous signé un contrat de sous-traitance RGPD avec chacun de vos clients dont vous traitez les données ?

Votre activité vous amène à traiter des données pour le compte de vos clients (dossiers, liasses fiscales, gestion patrimoniale…). Vous êtes donc vous-même sous-traitant au sens RGPD — et vos clients sont responsables de traitement. Un DPA doit être signé dans ce sens.

J'ai signé un DPA avec chaque client pour lequel je traite des données personnelles Ces contrats couvrent les mesures de sécurité, durées de conservation et notification d'incident Rien de tout ça — pas de DPA signé avec mes clients

RGPD — Art. 37

Avez-vous désigné un Délégué à la Protection des Données (DPO) ?

J'ai désigné un DPO (interne ou externe) Il est déclaré auprès de la CNIL Rien de tout ça

RGPD — Art. 35

Avez-vous réalisé une Analyse d'Impact (AIPD) pour vos traitements à risque élevé ?

J'ai réalisé une AIPD pour mes traitements à risque élevé (données sensibles, profilage, surveillance) Elle est documentée et tenue à jour Rien de tout ça

CNIL / ePrivacy

Votre site web respecte-t-il les règles sur les cookies et le consentement ?

Un scan automatique de votre site affinera ce point dans votre rapport. En attendant, indiquez ce que vous savez.

Un bandeau de consentement aux cookies est présent (Axeptio, Tarteaucitron, CookieBot…) Les scripts de tracking ne se déclenchent qu'après acceptation Une page de politique de confidentialité est accessible Rien de tout ça

RGPD — Art. 5/13/30/32

Comment gérez-vous les données personnelles de vos salariés ?

Les traitements RH (paie, congés, évaluation…) figurent dans mon registre Mes salariés sont informés des traitements les concernant Les durées de conservation légales sont respectées (bulletins de paie : 5 ans…) L'accès aux données RH est limité aux personnes habilitées Rien de tout ça

Étape 3 sur 3

Conformité sectorielle

Questions spécifiques à votre secteur.

CNB — e.Barreau / RPVA (obligation)

Utilisez-vous e.Barreau / RPVA pour vos échanges officiels avec les juridictions ?

Le Vademecum CNB 2022 identifie e.Barreau comme canal obligatoire — pas une option parmi d'autres.

Oui, j'utilise e.Barreau / RPVA pour tous mes échanges avec les juridictions Non — j'utilise d'autres canaux (email, courrier, plateforme tierce)

CNB — Secret professionnel

Comment protégez-vous les autres échanges numériques couverts par le secret professionnel ?

J'utilise une messagerie chiffrée ou sécurisée (Zcap, ProtonMail, messagerie du barreau...) J'utilise un espace de partage sécurisé pour les pièces sensibles J'évite d'envoyer des pièces sensibles via des services grand public Rien de tout ça — j'utilise Gmail, WhatsApp ou WeTransfer sans mesure particulière

CNB — Politique de sécurité

Votre cabinet dispose-t-il d'une politique de sécurité numérique formalisée ?

J'ai des règles de sécurité formalisées (charte, politique écrite...) Je les diffuse et les explique à mes collaborateurs Je les mets à jour régulièrement (au moins une fois par an) Rien de tout ça

CNB — Authentification

Comment gérez-vous les accès à vos outils et applications métier ?

Tous mes comptes ont des mots de passe robustes et différents J'utilise un gestionnaire de mots de passe J'ai activé la double authentification (MFA) sur mes comptes critiques Je supprime les accès des collaborateurs qui quittent le cabinet immédiatement Rien de tout ça

CNB — Postes & appareils

Comment protégez-vous les postes de travail et appareils du cabinet ?

Tous les postes ont un antivirus ou EDR actif et à jour Les mises à jour système et logiciels sont appliquées régulièrement Les disques des ordinateurs portables sont chiffrés (BitLocker, FileVault…) Les appareils personnels n'ont pas accès aux données client (ou accès strictement encadré) Rien de tout ça

CNB — Sauvegardes

Comment gérez-vous les sauvegardes de vos données et dossiers clients ?

Je réalise des sauvegardes régulières (au moins hebdomadaires) Les sauvegardes sont stockées hors du poste principal (cloud ou support externe) J'ai déjà testé la restauration de mes sauvegardes au moins une fois Rien de tout ça

CNB — Réseau & télétravail

Comment sécurisez-vous votre réseau Wi-Fi et les accès à distance à vos dossiers ?

Le Wi-Fi du cabinet est protégé par un mot de passe fort (WPA2/WPA3) Le réseau visiteurs est séparé du réseau professionnel En télétravail, j'accède aux dossiers via un accès sécurisé (VPN, cloud dédié) — pas depuis un Wi-Fi public Rien de tout ça

CNB — Gestion d'incident

En cas d'incident cyber (ransomware, fuite de données, intrusion), savez-vous quoi faire ?

J'ai un plan ou une procédure documentée pour gérer une crise cyber Je connais les contacts à prévenir (CNIL, Barreau, cybermalveillance.gouv.fr, assurance…) Rien de tout ça — je ne saurais pas quoi faire en cas d'incident

CNB — Continuité procédurale

Que se passe-t-il si vos outils numériques sont indisponibles à l'approche d'une échéance procédurale ?

J'ai identifié mes audiences et dépôts à venir sur les 30 prochains jours Je connais la procédure de secours pour accéder à e.Barreau / Télérecours en cas de panne J'ai une copie locale récente des dossiers actifs pour les audiences imminentes Je n'ai pas réfléchi à ce scénario

CNB — Prestataires IT

Comment encadrez-vous vos prestataires informatiques sur la sécurité et la confidentialité ?

Mes prestataires IT ont signé un engagement de confidentialité Les contrats incluent des clauses de sécurité (notification d'incident, obligations…) J'ai vérifié qu'ils respectent le RGPD (DPA signé) Rien de tout ça — aucune mesure formelle avec mes prestataires

CNB — Sensibilisation

Vos collaborateurs sont-ils sensibilisés aux risques numériques ?

Ils ont reçu une sensibilisation aux cybermenaces (phishing, mots de passe…) Ils savent reconnaître et signaler un email suspect Ils ont été informés de leurs obligations liées au secret professionnel numérique Rien de tout ça — aucune sensibilisation

OEC — Échanges clients

Comment échangez-vous les documents financiers et fiscaux avec vos clients ?

J'utilise un portail client sécurisé (MyFides, MyUnisoft, Pennylane, ACD GED...) Les échanges sensibles passent par un espace de partage chiffré J'évite d'envoyer des documents comptables ou fiscaux par email non chiffré J'utilise des outils grand public pour tous mes échanges (Gmail, WeTransfer...)

OEC — Accès logiciels

Comment gérez-vous les droits d'accès dans vos logiciels comptables ?

Chaque collaborateur a son propre compte nominatif (pas de comptes partagés) Les droits sont limités aux dossiers clients dont le collaborateur est responsable J'utilise la MFA pour accéder aux logiciels en mode cloud / SaaS Les accès sont révoqués immédiatement quand un collaborateur part Je n'ai pas de règles définies sur les droits d'accès

OEC — Postes & appareils

Comment protégez-vous les postes qui stockent ou accèdent aux données clients ?

Tous les postes ont un antivirus ou EDR actif et à jour Les mises à jour système et logiciels sont appliquées régulièrement Les disques des ordinateurs portables sont chiffrés (BitLocker…) Les postes se verrouillent automatiquement après quelques minutes d'inactivité Les appareils personnels (BYOD) n'ont pas accès aux données clients, ou l'accès est encadré Rien de tout ça

OEC — Sauvegardes

Comment sauvegardez-vous les données comptables et les dossiers clients ?

Je sauvegarde régulièrement (au moins quotidiennement en période de clôture) Les sauvegardes sont stockées hors du poste principal (cloud ou support externe) Les sauvegardes couvrent tous les dossiers, y compris les archives J'ai testé la restauration au moins une fois Rien de tout ça

OEC — Continuité d'activité

Avez-vous anticipé la continuité de votre activité en cas d'incident cyber autour des échéances fiscales ?

J'ai identifié mes échéances critiques (TVA, IS, liasse fiscale, clôtures...) J'ai un plan de reprise documenté en cas d'incident majeur Mes sauvegardes sont accessibles hors ligne pendant les périodes critiques Je n'ai pas réfléchi à ce scénario

OEC — Obligations LAB

Comment protégez-vous vos dossiers de vigilance anti-blanchiment (LCB-FT) ?

Les dossiers LAB sont stockés dans un espace sécurisé à accès restreint L'accès aux dossiers de vigilance est limité aux personnes habilitées J'ai désigné un responsable LAB au sein du cabinet Je ne connais pas mes obligations LCB-FT ou je n'ai pris aucune mesure

OEC — Archivage légal

Vos documents clients sont-ils archivés conformément à l'obligation légale de conservation (10 ans) ?

Je conserve les documents comptables clients pendant la durée légale (10 ans — art. L123-22 C. com.) Les archives sont stockées de manière sécurisée et accessible (pas uniquement sur un poste) Les archives sont protégées contre la perte (sauvegarde, support pérenne) Rien de tout ça

OEC — Accréditations DGFiP

Comment protégez-vous vos accréditations fiscales professionnelles (espace DGFiP, EDI, télédéclaration) ?

Ces accréditations donnent accès aux données fiscales de l'ensemble de votre portefeuille clients — elles constituent une cible de choix pour les attaquants.

L'accès à l'espace professionnel DGFiP est sécurisé par double authentification (MFA) Seuls les collaborateurs habilités ont accès aux identifiants de télédéclaration Les accréditations sont révoquées immédiatement lors du départ d'un collaborateur Aucune mesure particulière sur ces accès

OEC — Réseau & télétravail

Comment sécurisez-vous votre réseau Wi-Fi et les accès distants à vos outils comptables ?

Le Wi-Fi du cabinet est protégé par un mot de passe fort (WPA2/WPA3) Le réseau visiteurs est séparé du réseau professionnel En télétravail, j'accède aux logiciels comptables via un accès sécurisé — pas depuis un Wi-Fi public Rien de tout ça

OEC — Prestataires & éditeurs

Comment encadrez-vous vos prestataires IT et éditeurs de logiciels métier ?

Mes prestataires et éditeurs ont signé un engagement de confidentialité / DPA Je connais la localisation d'hébergement des données dans mes logiciels SaaS (Cegid, Sage, Pennylane…) Les contrats incluent des clauses de sécurité et de notification d'incident Rien de tout ça

OEC — Sensibilisation

Vos collaborateurs sont-ils sensibilisés aux risques numériques ?

Ils ont reçu une sensibilisation aux cybermenaces (phishing, mots de passe…) Ils savent reconnaître et signaler un email suspect Ils sont informés de leurs obligations de confidentialité sur les données clients Rien de tout ça — aucune sensibilisation

État de l'art — Accès

Comment gérez-vous les accès à vos outils, applications et données professionnelles ?

Tous les comptes ont des mots de passe robustes et uniques par service J'utilise un gestionnaire de mots de passe La double authentification (MFA) est activée sur les comptes critiques (messagerie, cloud...) Les accès des collaborateurs qui partent sont révoqués immédiatement Rien de tout ça

État de l'art — Postes

Comment protégez-vous les postes de travail et appareils professionnels ?

Tous les postes ont un antivirus ou EDR actif et à jour Les mises à jour du système et des logiciels sont appliquées régulièrement Les disques durs des portables sont chiffrés (BitLocker, FileVault...) Les appareils personnels (BYOD) n'ont pas accès aux données pro ou l'accès est encadré Des tests ou scans de sécurité sont réalisés au moins annuellement (scan réseau, test de phishing...) Rien de tout ça

État de l'art — Sauvegardes

Comment sauvegardez-vous vos données professionnelles ?

Des sauvegardes régulières sont réalisées (au moins hebdomadaires) Les sauvegardes sont stockées hors du poste principal (cloud ou support externe) J'ai testé la restauration de mes sauvegardes au moins une fois Rien de tout ça

État de l'art — Réseau

Comment sécurisez-vous votre réseau et les accès distants ?

Le Wi-Fi est protégé par un mot de passe fort (WPA2/WPA3) Le réseau visiteurs est séparé du réseau professionnel En télétravail, l'accès aux ressources passe par un accès sécurisé (VPN, cloud dédié) Rien de tout ça

État de l'art — Incidents

En cas d'incident cyber, savez-vous quoi faire ?

J'ai une procédure ou des réflexes documentés pour réagir à un incident Je connais les contacts à prévenir (prestataire IT, cybermalveillance.gouv.fr...) Les événements de sécurité (connexions, accès, modifications) sont enregistrés et consultables en cas d'incident Je ne sais pas quoi faire en cas d'incident

NIS2 — Résilience numérique

NIS2 — Art. 21.2a

Disposez-vous d'une politique documentée de gestion des risques SI, approuvée par la direction ?

J'ai une politique de gestion des risques SI formalisée et approuvée par la direction Elle couvre réseaux, systèmes et données — et est révisée au moins annuellement La direction assure une supervision active de sa mise en œuvre Rien de tout ça

NIS2 — Art. 23

Connaissez-vous vos obligations de notification d'incidents à l'ANSSI ?

J'ai une procédure de gestion et classification des incidents significatifs Je connais les délais : 24h (alerte initiale ANSSI), 72h (notification complète), 1 mois (rapport final) J'ai un contact identifié à l'ANSSI ou via mon CSIRT sectoriel Rien de tout ça

NIS2 — Art. 21.2c

Avez-vous un plan de continuité et de reprise pour vos systèmes critiques ?

J'ai un PCA et un PRI documentés couvrant mes systèmes essentiels Des RTO et RPO sont définis pour les systèmes critiques Ces plans ont été testés en conditions réelles au moins une fois Rien de tout ça

NIS2 — Art. 21.2d

Comment sécurisez-vous votre chaîne d'approvisionnement (fournisseurs, sous-traitants) ?

J'ai cartographié les fournisseurs et sous-traitants ayant accès à mon SI ou à mes données J'évalue la sécurité de mes fournisseurs critiques avant de les contracter Les contrats avec les fournisseurs critiques incluent des exigences de sécurité minimales Rien de tout ça

NIS2 — Art. 21.2e/h/i/j

Avez-vous mis en place les mesures techniques fondamentales exigées par NIS2 ?

Le MFA est activé sur tous les accès aux systèmes et données critiques Les communications sensibles sont chiffrées (transit et stockage) Un processus de patch management est appliqué de façon régulière et documentée Les systèmes sont durcis (hardening — suppression services inutiles, paramètres sécurisés) Les accès et événements de sécurité sont journalisés et conservés Des scans de vulnérabilités ou tests de sécurité réguliers sont réalisés sur les systèmes critiques Rien de tout ça

NIS2 — Art. 20.2 + 21.2g

Vos collaborateurs et votre direction sont-ils formés conformément à NIS2 ?

Les collaborateurs ont reçu une formation cyber régulière La direction a été formée sur les risques cyber et ses responsabilités personnelles (NIS2 art. 20) Un programme de sensibilisation formalisé est en place avec suivi Rien de tout ça

DORA — Art. 5-6

Qui est responsable de la résilience numérique au sein de votre structure ?

La direction a désigné formellement un responsable de la résilience numérique La direction est régulièrement informée des risques numériques Nous avons une politique de gestion des risques ICT documentée Personne n'est formellement responsable du numérique dans notre structure

DORA — Art. 17-20

Disposez-vous d'une procédure pour gérer et classifier les incidents numériques ?

J'ai une procédure documentée pour répondre à un incident cyber Je sais classifier la gravité d'un incident (mineur / majeur au sens DORA) Je tiens un registre des incidents ICT survenus Je connais mon autorité compétente (ACPR ou AMF) et les délais de notification (4h / 72h) Rien de tout ça

DORA — Art. 28-30

Comment encadrez-vous vos éditeurs de logiciels et prestataires informatiques ?

J'ai un registre de tous mes prestataires ICT (éditeurs, hébergeurs, cloud...) J'ai identifié les prestataires critiques pour ma résilience Les contrats incluent un droit d'audit et une clause de notification d'incident Les contrats prévoient une clause de résiliation et encadrent la sous-traitance ICT J'ai une stratégie de sortie pour mes prestataires critiques Aucune formalisation

DORA — Art. 13

Après un incident numérique, faites-vous un retour d'expérience formalisé ?

Je documente chaque incident avec une analyse des causes Je mets à jour mes procédures suite aux enseignements tirés Je partage les retours d'expérience pertinents avec mes équipes Les incidents sont gérés sur le moment mais ne font l'objet d'aucune analyse formelle

DORA — Art. 14

Avez-vous un plan de communication pour gérer un incident ICT majeur ?

J'ai un plan de communication interne documenté (qui prévient qui, via quel canal de secours) J'ai préparé des trames de communication vers mes clients en cas d'incident Les obligations de communication réglementaire sont intégrées dans le plan (ACPR, assurance, partenaires...) Rien de tout ça

DORA — Art. 29

Avez-vous évalué votre dépendance à des prestataires ICT dominants ?

J'ai identifié si mon activité dépend fortement d'un ou deux prestataires ICT majeurs (Microsoft, AWS, Google...) Je surveille les incidents et pannes chez mes prestataires critiques J'ai évalué ce qui se passerait si mon principal prestataire cloud était indisponible plusieurs jours Je dispose d'alternatives pour mes systèmes les plus critiques Je n'ai pas évalué ce risque

DORA — Art. 13.6

Vos collaborateurs sont-ils formés aux risques numériques spécifiques à votre activité financière ?

Mes collaborateurs ont reçu une formation ou sensibilisation aux cybermenaces Ils connaissent les procédures à suivre en cas d'incident ICT (qui prévenir, quoi ne pas faire) La direction a été formée sur sa responsabilité personnelle en matière de résilience numérique (art. 5 DORA) Aucune formation n'a été faite

Recommandation

Recommandation — Assurance cyber

Êtes-vous couvert en cas d'incident cyber ?

Pas une obligation légale — mais le coût moyen d'un incident pour une TPE dépasse 18 500€. Une police mal déclarée peut être invalidée au moment du sinistre.

J'ai une assurance couvrant les incidents cyber (ransomware, violation de données, interruption d'activité) Je connais la procédure de déclenchement et les délais de déclaration J'ai déclaré à mon assureur les mesures de sécurité en place (MFA, sauvegardes, EDR...) — une fausse déclaration peut invalider la garantie Je connais les principales exclusions de ma police Je n'ai pas d'assurance couvrant les incidents cyber

🔍

Votre diagnostic de conformité

Voici les gaps identifiés sur votre périmètre réglementaire.

ⓘ Ce diagnostic est fourni à titre indicatif. Établi à partir de vos réponses, il met en lumière des points d'attention mais ne constitue ni un audit de conformité ni un avis juridique, et ne garantit pas votre conformité réelle aux réglementations concernées.

Recevez votre rapport détaillé par email

L'analyse complète de vos écarts, les actions prioritaires et les objectifs de sécurité associés — sans engagement, dans votre boîte mail.

J'accepte de recevoir mon rapport et d'être recontacté par SysZen. Politique de confidentialité.

🔒 Vérification anti-robot (Friendly Captcha) — activée en production

✓

C'est noté ! L'envoi automatique du rapport sera bientôt actif — votre demande est bien enregistrée.

Votre profil

Conformité RGPD

Conformité sectorielle

Votre diagnostic de conformité

Recevez votre rapport détaillé par email

Allez plus loin avec une PSSI personnalisée