Varden Security
Connexion

Assessment module

Data Act

FIRE - Innovation + Finance

References: Reglement (UE) 2023/2854 - Data Act | Reglement (UE) 2016/679 - RGPD | Reglement (UE) 2022/868 - DGA | ISO/IEC 27001, ISO/IEC 27017

Retour moduleTous les modules

Assessment module

Assessment unique sans niveaux, avec scoring et recommandations.

Assessment de 15 questions. Echelle de maturite: 0..5.

Le score enregistre est calcule cote serveur avec la fiche organisation (taille, CA, secteur) et les regles de ponderation admin.

Brouillon local actif.

Comment noter rapidement

  • Note la realite actuelle, pas le niveau cible.
  • Si tu hesites entre 2 scores, prends le score inferieur.
  • Ajoute un commentaire optionnel si un contexte metier est utile pour interpreter la note.
Validateur de coherence: structure des questions, echelle et ponderations verifiees.

Inventaire des donnees

Les donnees generees par produits/services connectes sont-elles cartographiees ?

Question critique

Sens de la question: Cette question mesure la maitrise des donnees et identites: protection, droits d'acces, traçabilite et conformite du cycle de vie. Point evalue: Les donnees generees par produits/services connectes sont-elles cartographiees.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise effective des acces et donnees sensibles tout au long du cycle de vie.

Si tu es entre 0 et 2: Regles d'acces/donnees fragiles, peu de traçabilite ou gouvernance incomplète.

Si tu es a 3: Cadre defini et applique sur les cas principaux, avec quelques zones grises a corriger.

Si tu es entre 4 et 5: Acces, droits, conservation et traçabilite robustes, verifies et ameliores en continu.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Donnees/identites non maitrisees | 3 - Cadre applique avec responsabilites claires | 5 - Maitrise bout-en-bout et amelioration continue

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Droits d'acces

Les droits d'acces aux donnees (utilisateur, partenaire, interne) sont-ils definis ?

Sens de la question: Cette question mesure la maitrise des donnees et identites: protection, droits d'acces, traçabilite et conformite du cycle de vie. Point evalue: Les droits d'acces aux donnees (utilisateur, partenaire, interne) sont-ils definis.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise effective des acces et donnees sensibles tout au long du cycle de vie.

Si tu es entre 0 et 2: Regles d'acces/donnees fragiles, peu de traçabilite ou gouvernance incomplète.

Si tu es a 3: Cadre defini et applique sur les cas principaux, avec quelques zones grises a corriger.

Si tu es entre 4 et 5: Acces, droits, conservation et traçabilite robustes, verifies et ameliores en continu.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Donnees/identites non maitrisees | 3 - Cadre applique avec responsabilites claires | 5 - Maitrise bout-en-bout et amelioration continue

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Portabilite

Un mecanisme de portabilite des donnees est-il operationnel ?

Question critique

Sens de la question: Cette question mesure la maitrise des donnees et identites: protection, droits d'acces, traçabilite et conformite du cycle de vie. Point evalue: Un mecanisme de portabilite des donnees est-il operationnel.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise effective des acces et donnees sensibles tout au long du cycle de vie.

Si tu es entre 0 et 2: Regles d'acces/donnees fragiles, peu de traçabilite ou gouvernance incomplète.

Si tu es a 3: Cadre defini et applique sur les cas principaux, avec quelques zones grises a corriger.

Si tu es entre 4 et 5: Acces, droits, conservation et traçabilite robustes, verifies et ameliores en continu.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Donnees/identites non maitrisees | 3 - Cadre applique avec responsabilites claires | 5 - Maitrise bout-en-bout et amelioration continue

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Partage B2B/B2G

Les demandes de partage de donnees sont-elles traitees via un processus trace ?

Sens de la question: Cette question mesure la maitrise des donnees et identites: protection, droits d'acces, traçabilite et conformite du cycle de vie. Point evalue: Les demandes de partage de donnees sont-elles traitees via un processus trace.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise effective des acces et donnees sensibles tout au long du cycle de vie.

Si tu es entre 0 et 2: Regles d'acces/donnees fragiles, peu de traçabilite ou gouvernance incomplète.

Si tu es a 3: Cadre defini et applique sur les cas principaux, avec quelques zones grises a corriger.

Si tu es entre 4 et 5: Acces, droits, conservation et traçabilite robustes, verifies et ameliores en continu.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Donnees/identites non maitrisees | 3 - Cadre applique avec responsabilites claires | 5 - Maitrise bout-en-bout et amelioration continue

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Interoperabilite

Les formats/API favorisent-ils l'interoperabilite des donnees ?

Sens de la question: Cette question mesure la maitrise des donnees et identites: protection, droits d'acces, traçabilite et conformite du cycle de vie. Point evalue: Les formats/API favorisent-ils l'interoperabilite des donnees.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise effective des acces et donnees sensibles tout au long du cycle de vie.

Si tu es entre 0 et 2: Regles d'acces/donnees fragiles, peu de traçabilite ou gouvernance incomplète.

Si tu es a 3: Cadre defini et applique sur les cas principaux, avec quelques zones grises a corriger.

Si tu es entre 4 et 5: Acces, droits, conservation et traçabilite robustes, verifies et ameliores en continu.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Donnees/identites non maitrisees | 3 - Cadre applique avec responsabilites claires | 5 - Maitrise bout-en-bout et amelioration continue

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Switching cloud

Un plan de changement de fournisseur cloud est-il disponible et realiste ?

Question critique

Sens de la question: Cette question mesure la maitrise du risque tiers: qualification, clauses, surveillance continue et scenario de sortie. Point evalue: Un plan de changement de fournisseur cloud est-il disponible et realiste.

Note selon la couverture des tiers critiques (pas seulement la presence d'une politique).

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise des tiers critiques de bout en bout: selection, clauses, suivi et sortie.

Si tu es entre 0 et 2: Evaluation tiers occasionnelle et peu de controles contractuels effectifs.

Si tu es a 3: Cadre fournisseur etabli sur les tiers majeurs, mais supervision encore heterogene.

Si tu es entre 4 et 5: Couverture complete des tiers critiques avec surveillance continue et reversibilite preparee.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Aucun cadre tiers | 3 - Cadre formel pour tiers critiques | 5 - Maitrise de bout en bout (incluant reversibilite)

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Reversibilite

Les tests de reversibilite des donnees sont-ils executes periodiquement ?

Sens de la question: Cette question mesure la maitrise du risque tiers: qualification, clauses, surveillance continue et scenario de sortie. Point evalue: Les tests de reversibilite des donnees sont-ils executes periodiquement.

Note selon la couverture des tiers critiques (pas seulement la presence d'une politique).

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise des tiers critiques de bout en bout: selection, clauses, suivi et sortie.

Si tu es entre 0 et 2: Evaluation tiers occasionnelle et peu de controles contractuels effectifs.

Si tu es a 3: Cadre fournisseur etabli sur les tiers majeurs, mais supervision encore heterogene.

Si tu es entre 4 et 5: Couverture complete des tiers critiques avec surveillance continue et reversibilite preparee.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Aucun cadre tiers | 3 - Cadre formel pour tiers critiques | 5 - Maitrise de bout en bout (incluant reversibilite)

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Contractuel

Les contrats de partage de donnees sont-ils equitables et explicites ?

Sens de la question: Cette question mesure la maitrise du risque tiers: qualification, clauses, surveillance continue et scenario de sortie. Point evalue: Les contrats de partage de donnees sont-ils equitables et explicites.

Note selon la couverture des tiers critiques (pas seulement la presence d'une politique).

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise des tiers critiques de bout en bout: selection, clauses, suivi et sortie.

Si tu es entre 0 et 2: Evaluation tiers occasionnelle et peu de controles contractuels effectifs.

Si tu es a 3: Cadre fournisseur etabli sur les tiers majeurs, mais supervision encore heterogene.

Si tu es entre 4 et 5: Couverture complete des tiers critiques avec surveillance continue et reversibilite preparee.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Aucun cadre tiers | 3 - Cadre formel pour tiers critiques | 5 - Maitrise de bout en bout (incluant reversibilite)

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Confidentialite

Les donnees partagees sont-elles protegees contre les acces non autorises ?

Question critique

Sens de la question: Cette question mesure la maitrise des donnees et identites: protection, droits d'acces, traçabilite et conformite du cycle de vie. Point evalue: Les donnees partagees sont-elles protegees contre les acces non autorises.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise effective des acces et donnees sensibles tout au long du cycle de vie.

Si tu es entre 0 et 2: Regles d'acces/donnees fragiles, peu de traçabilite ou gouvernance incomplète.

Si tu es a 3: Cadre defini et applique sur les cas principaux, avec quelques zones grises a corriger.

Si tu es entre 4 et 5: Acces, droits, conservation et traçabilite robustes, verifies et ameliores en continu.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Donnees/identites non maitrisees | 3 - Cadre applique avec responsabilites claires | 5 - Maitrise bout-en-bout et amelioration continue

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Tracabilite

Les acces et transferts de donnees sont-ils journalises et auditables ?

Sens de la question: Cette question mesure la maitrise des donnees et identites: protection, droits d'acces, traçabilite et conformite du cycle de vie. Point evalue: Les acces et transferts de donnees sont-ils journalises et auditables.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise effective des acces et donnees sensibles tout au long du cycle de vie.

Si tu es entre 0 et 2: Regles d'acces/donnees fragiles, peu de traçabilite ou gouvernance incomplète.

Si tu es a 3: Cadre defini et applique sur les cas principaux, avec quelques zones grises a corriger.

Si tu es entre 4 et 5: Acces, droits, conservation et traçabilite robustes, verifies et ameliores en continu.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Donnees/identites non maitrisees | 3 - Cadre applique avec responsabilites claires | 5 - Maitrise bout-en-bout et amelioration continue

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Transferts internationaux

Les transferts vers pays tiers sont-ils encadres conformement aux exigences ?

Sens de la question: Cette question mesure la maitrise du risque tiers: qualification, clauses, surveillance continue et scenario de sortie. Point evalue: Les transferts vers pays tiers sont-ils encadres conformement aux exigences.

Note selon la couverture des tiers critiques (pas seulement la presence d'une politique).

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise des tiers critiques de bout en bout: selection, clauses, suivi et sortie.

Si tu es entre 0 et 2: Evaluation tiers occasionnelle et peu de controles contractuels effectifs.

Si tu es a 3: Cadre fournisseur etabli sur les tiers majeurs, mais supervision encore heterogene.

Si tu es entre 4 et 5: Couverture complete des tiers critiques avec surveillance continue et reversibilite preparee.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Aucun cadre tiers | 3 - Cadre formel pour tiers critiques | 5 - Maitrise de bout en bout (incluant reversibilite)

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Tarification

Les conditions economiques du partage de donnees sont-elles transparentes ?

Sens de la question: Cette question mesure la maitrise des donnees et identites: protection, droits d'acces, traçabilite et conformite du cycle de vie. Point evalue: Les conditions economiques du partage de donnees sont-elles transparentes.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise effective des acces et donnees sensibles tout au long du cycle de vie.

Si tu es entre 0 et 2: Regles d'acces/donnees fragiles, peu de traçabilite ou gouvernance incomplète.

Si tu es a 3: Cadre defini et applique sur les cas principaux, avec quelques zones grises a corriger.

Si tu es entre 4 et 5: Acces, droits, conservation et traçabilite robustes, verifies et ameliores en continu.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Donnees/identites non maitrisees | 3 - Cadre applique avec responsabilites claires | 5 - Maitrise bout-en-bout et amelioration continue

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Resolution litiges

Un mecanisme de resolution des differends data est-il etabli ?

Sens de la question: Cette question mesure le niveau de structuration reel du dispositif et sa capacite a tenir dans la duree. Point evalue: Un mecanisme de resolution des differends data est-il etabli.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la realite actuelle du dispositif; en cas de doute entre deux niveaux, choisis le plus bas.

Si tu es entre 0 et 2: Dispositif absent, incomplet ou applique de maniere trop ponctuelle.

Si tu es a 3: Dispositif formel present mais execution inegale ou insuffisamment suivie.

Si tu es entre 4 et 5: Dispositif robuste, regulierement suivi et améliore sur la base de preuves.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Absent / non demarre | 3 - Formalise et applique | 5 - Robuste, mesure et ameliore en continu

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Gouvernance

Des responsables sont-ils nommes pour piloter la conformite Data Act ?

Sens de la question: Cette question mesure la qualite du pilotage: responsabilites claires, decisions formelles et suivi regulier au bon niveau. Point evalue: Des responsables sont-ils nommes pour piloter la conformite Data Act.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la realite de pilotage au quotidien, pas l'intention ni le projet en preparation.

Si tu es entre 0 et 2: Roles flous, decisions non formalisees, suivi dependant des personnes et non d'un cadre.

Si tu es a 3: Cadre defini et applique sur le coeur du perimetre, mais encore irregulier selon les equipes.

Si tu es entre 4 et 5: Gouvernance stable, arbitrages traces, revues periodiques et corrections pilotees.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Aucun cadre de gouvernance | 3 - Roles clairs et revue reguliere | 5 - Gouvernance mature, anticipe et ameliore en continu

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Roadmap

Une feuille de route Data Act avec priorites et jalons est-elle active ?

Sens de la question: Cette question mesure le niveau de structuration reel du dispositif et sa capacite a tenir dans la duree. Point evalue: Une feuille de route Data Act avec priorites et jalons est-elle active.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la realite actuelle du dispositif; en cas de doute entre deux niveaux, choisis le plus bas.

Si tu es entre 0 et 2: Dispositif absent, incomplet ou applique de maniere trop ponctuelle.

Si tu es a 3: Dispositif formel present mais execution inegale ou insuffisamment suivie.

Si tu es entre 4 et 5: Dispositif robuste, regulierement suivi et améliore sur la base de preuves.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Absent / non demarre | 3 - Formalise et applique | 5 - Robuste, mesure et ameliore en continu

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Retour module

Le bouton rapport IA sera active apres enregistrement de l'assessment.