Aller au contenu principal
DataSouv
Audit
Sortie d'audit clé en main

Accompagnement mise en conformité — du rapport d'audit à l'exécution

Documentation localisée à la loi 09-08 (pas de copier-coller RGPD), bannière cookies conforme avec blocage runtime réel, hardening technique vers un score Observatory A+, formation des équipes opérationnelles. Quatre chantiers en parallèle, sur 90 jours.

Démarrer un accompagnementD'abord l'audit

Quatre chantiers

Documentation, consentement, technique, humain

Les quatre piliers sur lesquels une mise en conformité repose. Pris séparément, chacun est utile ; pris ensemble, ils créent une conformité qui tient dans la durée.

Documentation localisée

Rédaction sur mesure de la politique de confidentialité, des mentions légales et du registre des traitements. Pas de copier-coller RGPD européen : chaque document fait référence explicite à la loi 09-08 et au décret 2-09-165, avec les bons articles et les bonnes terminologies.
  • Politique de confidentialité (loi 09-08 + RGPD si applicable)
  • Mentions légales conformes droit marocain et belge
  • Registre des traitements (modèle exploitable, formats CSV et MDX)
  • Procédure interne de gestion des droits (article 7 à 11)
  • DPA type à utiliser avec vos sous-traitants
  • Politique de gestion des incidents et notification CNDP

Bannière et consentement

Mise en place d'une bannière cookies conforme avec blocage runtime effectif. Aucun tracker ne se déclenche avant le consentement, finesse par catégorie, persistance des choix, retrait du consentement aussi simple que son recueil.
  • Bannière conforme article 5(3) ePrivacy + doctrine CNDP
  • Blocage runtime véritable (et non simple affichage)
  • Catégorisation (nécessaire, mesure d'audience, marketing, etc.)
  • Stockage du consentement avec horodatage et version
  • Page « gérer mes cookies » accessible à tout moment
  • Intégration sans dépendance à un SaaS US (auto-hébergement UE)

Hardening technique

Mise en place ou correction des en-têtes HTTP de sécurité, configuration TLS, anti-spoofing email (SPF, DKIM, DMARC), durcissement DNS, security.txt (RFC 9116). Objectif explicite : score Mozilla Observatory A ou A+.
  • Content-Security-Policy stricte (rapport puis enforcement)
  • HSTS preload, redirection HTTPS systématique
  • Cross-Origin Isolation (COOP, COEP, CORP)
  • Configuration SPF + DKIM + DMARC reject
  • DNS hardening (CAA, DNSSEC quand pertinent)
  • security.txt RFC 9116 et canal de divulgation responsable

Formation des équipes

Sensibilisation des équipes opérationnelles (marketing, RH, support, IT) sur les réflexes de conformité quotidiens. Pas de PowerPoint indigeste : des ateliers ciblés de 90 minutes avec cas pratiques tirés de votre activité réelle.
  • Atelier équipe marketing : consentement, mailing, ciblage
  • Atelier équipe RH : candidats, vidéo-surveillance, BYOD
  • Atelier équipe support : demandes d'exercice de droits, signalements
  • Atelier équipe IT : journalisation, sauvegardes, incidents
  • Atelier direction : responsabilités, comité conformité
  • Support pédagogique persistant remis à chaque session

Format 90 jours

Cinq jalons contractualisés, pas de mission qui dérive

  1. 1

    Semaines 1-2

    Cadrage et priorisation

    Reprise du rapport d'audit (ou audit court inclus si non encore fait), priorisation des chantiers, allocation des charges côté DataSouv et côté équipes internes.

  2. 2

    Semaines 2-5

    Documentation et formalités

    Rédaction de la documentation (politique, mentions, registre, DPA), constitution des formalités CNDP nécessaires, signature des DPA avec sous-traitants existants.

  3. 3

    Semaines 4-8

    Hardening technique

    Déploiement des en-têtes de sécurité, configuration anti-spoofing, mise en place de la bannière conforme avec blocage runtime. Tests progressifs en environnement de pré-production puis bascule.

  4. 4

    Semaines 8-11

    Formation et adoption

    Ateliers métier, remise des supports persistants, mise en place des procédures internes (droits, signalements, incidents). Première itération du registre vivant.

  5. 5

    Semaine 12

    Re-test et clôture

    Re-test technique pour vérifier les correctifs, contrôle de cohérence sur la documentation, restitution au comité de direction et passage en mode récurrent (option DPO externalisé ou autonomie complète).

Questions fréquentes

Ce qu'on nous demande sur l'accompagnement

Faut-il avoir fait l'audit avec vous pour bénéficier de l'accompagnement ?

Non. Nous reprenons volontiers le rapport d'un autre auditeur ou d'un cabinet d'avocats, sous réserve qu'il soit suffisamment détaillé pour être actionnable. Si ce n'est pas le cas, un audit court (1 semaine) est inclus en démarrage pour calibrer le chantier.

Combien de temps dure l'accompagnement ?

Le format standard est sur 90 jours. Pour les organisations de plus de 100 personnes ou avec un SI complexe, l'accompagnement s'étale typiquement sur 4 à 6 mois. Les jalons sont contractualisés pour éviter l'effet de mission qui s'éternise.

Travaillez-vous avec mes équipes ou en autonomie ?

Toujours avec vos équipes. La mise en conformité durable ne peut pas être faite hors-sol par un prestataire externe. Notre rôle est d'apporter l'expertise, la méthode, les modèles, et de coacher vos équipes. Nous ne créons jamais de dépendance.

Quel est l'investissement total ?

Pour un forfait 90 jours standard, à partir de 80 000 MAD selon le périmètre. Pour les structures de plus de 100 personnes ou avec contraintes RGPD groupe, devis dédié. Possibilité d'étaler les chantiers sur plusieurs trimestres si la trésorerie ou la disponibilité interne l'impose.

Et après les 90 jours ?

Trois options. (1) Vous reprenez l'autonomie complète, avec un point de revue annuel facultatif. (2) Mission DPO externalisée pour assurer la continuité opérationnelle. (3) Forfait support à la demande pour les questions ponctuelles, sans engagement.

Pouvez-vous travailler avec nos avocats ?

Oui, et c'est même fréquent. Nous coordonnons l'aspect opérationnel et technique avec votre conseil juridique sur la qualification des traitements sensibles. Nos livrables sont validés contradictoirement avec le cabinet quand le sujet le requiert.

Cadrage gratuit

Quel chantier prioriser chez vous ?

45 minutes de cadrage pour comprendre votre point de départ et identifier le chantier le plus urgent. Vous repartez avec une première priorisation, même si vous ne donnez pas suite.

Demander le cadrageVoir tous les services