Varden Security
Connexion

Assessment module

Data Governance Act

FIRE - Excellence + Innovation

References: Reglement (UE) 2022/868 - Data Governance Act | Reglement (UE) 2023/2854 - Data Act | Reglement (UE) 2016/679 - RGPD | ISO/IEC 27001, ISO/IEC 27701

Retour moduleTous les modules

Assessment module

Assessment unique sans niveaux, avec scoring et recommandations.

Assessment de 15 questions. Echelle de maturite: 0..5.

Le score enregistre est calcule cote serveur avec la fiche organisation (taille, CA, secteur) et les regles de ponderation admin.

Brouillon local actif.

Comment noter rapidement

  • Note la realite actuelle, pas le niveau cible.
  • Si tu hesites entre 2 scores, prends le score inferieur.
  • Ajoute un commentaire optionnel si un contexte metier est utile pour interpreter la note.
Validateur de coherence: structure des questions, echelle et ponderations verifiees.

Strategie partage

Une strategie de partage de donnees de confiance est-elle definie ?

Question critique

Sens de la question: Cette question mesure la maitrise des donnees et identites: protection, droits d'acces, traçabilite et conformite du cycle de vie. Point evalue: Une strategie de partage de donnees de confiance est-elle definie.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise effective des acces et donnees sensibles tout au long du cycle de vie.

Si tu es entre 0 et 2: Regles d'acces/donnees fragiles, peu de traçabilite ou gouvernance incomplète.

Si tu es a 3: Cadre defini et applique sur les cas principaux, avec quelques zones grises a corriger.

Si tu es entre 4 et 5: Acces, droits, conservation et traçabilite robustes, verifies et ameliores en continu.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Donnees/identites non maitrisees | 3 - Cadre applique avec responsabilites claires | 5 - Maitrise bout-en-bout et amelioration continue

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Perimetre donnees

Les categories de donnees partagees/reutilisees sont-elles cartographiees ?

Sens de la question: Cette question mesure la maitrise des donnees et identites: protection, droits d'acces, traçabilite et conformite du cycle de vie. Point evalue: Les categories de donnees partagees/reutilisees sont-elles cartographiees.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise effective des acces et donnees sensibles tout au long du cycle de vie.

Si tu es entre 0 et 2: Regles d'acces/donnees fragiles, peu de traçabilite ou gouvernance incomplète.

Si tu es a 3: Cadre defini et applique sur les cas principaux, avec quelques zones grises a corriger.

Si tu es entre 4 et 5: Acces, droits, conservation et traçabilite robustes, verifies et ameliores en continu.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Donnees/identites non maitrisees | 3 - Cadre applique avec responsabilites claires | 5 - Maitrise bout-en-bout et amelioration continue

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Intermediaires

Les obligations de neutralite des intermediaires de donnees sont-elles controlees ?

Sens de la question: Cette question mesure la maitrise des donnees et identites: protection, droits d'acces, traçabilite et conformite du cycle de vie. Point evalue: Les obligations de neutralite des intermediaires de donnees sont-elles controlees.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise effective des acces et donnees sensibles tout au long du cycle de vie.

Si tu es entre 0 et 2: Regles d'acces/donnees fragiles, peu de traçabilite ou gouvernance incomplète.

Si tu es a 3: Cadre defini et applique sur les cas principaux, avec quelques zones grises a corriger.

Si tu es entre 4 et 5: Acces, droits, conservation et traçabilite robustes, verifies et ameliores en continu.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Donnees/identites non maitrisees | 3 - Cadre applique avec responsabilites claires | 5 - Maitrise bout-en-bout et amelioration continue

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Reutilisation publique

La reutilisation des donnees publiques protegees est-elle encadree ?

Sens de la question: Cette question mesure la maitrise des donnees et identites: protection, droits d'acces, traçabilite et conformite du cycle de vie. Point evalue: La reutilisation des donnees publiques protegees est-elle encadree.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise effective des acces et donnees sensibles tout au long du cycle de vie.

Si tu es entre 0 et 2: Regles d'acces/donnees fragiles, peu de traçabilite ou gouvernance incomplète.

Si tu es a 3: Cadre defini et applique sur les cas principaux, avec quelques zones grises a corriger.

Si tu es entre 4 et 5: Acces, droits, conservation et traçabilite robustes, verifies et ameliores en continu.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Donnees/identites non maitrisees | 3 - Cadre applique avec responsabilites claires | 5 - Maitrise bout-en-bout et amelioration continue

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Data altruism

Les initiatives de data altruism sont-elles gouvernees et tracees ?

Sens de la question: Cette question mesure la qualite de la preuve: documents recents, traçabilite, auditabilite et lien direct avec le controle vise. Point evalue: Les initiatives de data altruism sont-elles gouvernees et tracees.

Ne note pas l'intention: note uniquement ce qui est demontre par une preuve recente et traçable.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Ne note que ce qui est demontre: une preuve recente et traçable prime sur une declaration.

Si tu es entre 0 et 2: Preuves absentes, anciennes ou non reliees directement au controle evalue.

Si tu es a 3: Preuves presentes mais partielles (dates, ownership ou source pas toujours explicites).

Si tu es entre 4 et 5: Preuves auditables completes: source verifiable, date, responsable et lien au controle.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Aucune preuve disponible | 3 - Preuves documentees et datees | 5 - Chaine de preuve robuste et maintenue en continu

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Base legale

Les bases legales et finalites des partages sont-elles documentees ?

Question critique

Sens de la question: Cette question mesure la qualite de la preuve: documents recents, traçabilite, auditabilite et lien direct avec le controle vise. Point evalue: Les bases legales et finalites des partages sont-elles documentees.

Ne note pas l'intention: note uniquement ce qui est demontre par une preuve recente et traçable.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Ne note que ce qui est demontre: une preuve recente et traçable prime sur une declaration.

Si tu es entre 0 et 2: Preuves absentes, anciennes ou non reliees directement au controle evalue.

Si tu es a 3: Preuves presentes mais partielles (dates, ownership ou source pas toujours explicites).

Si tu es entre 4 et 5: Preuves auditables completes: source verifiable, date, responsable et lien au controle.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Aucune preuve disponible | 3 - Preuves documentees et datees | 5 - Chaine de preuve robuste et maintenue en continu

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Consentement

Le consentement (si requis) est-il collecte et gerable dans le temps ?

Sens de la question: Cette question mesure le niveau de structuration reel du dispositif et sa capacite a tenir dans la duree. Point evalue: Le consentement (si requis) est-il collecte et gerable dans le temps.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la realite actuelle du dispositif; en cas de doute entre deux niveaux, choisis le plus bas.

Si tu es entre 0 et 2: Dispositif absent, incomplet ou applique de maniere trop ponctuelle.

Si tu es a 3: Dispositif formel present mais execution inegale ou insuffisamment suivie.

Si tu es entre 4 et 5: Dispositif robuste, regulierement suivi et améliore sur la base de preuves.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Absent / non demarre | 3 - Formalise et applique | 5 - Robuste, mesure et ameliore en continu

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Qualite des donnees

Des standards de qualite et metadata sont-ils appliques aux jeux partages ?

Sens de la question: Cette question mesure la maitrise des donnees et identites: protection, droits d'acces, traçabilite et conformite du cycle de vie. Point evalue: Des standards de qualite et metadata sont-ils appliques aux jeux partages.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise effective des acces et donnees sensibles tout au long du cycle de vie.

Si tu es entre 0 et 2: Regles d'acces/donnees fragiles, peu de traçabilite ou gouvernance incomplète.

Si tu es a 3: Cadre defini et applique sur les cas principaux, avec quelques zones grises a corriger.

Si tu es entre 4 et 5: Acces, droits, conservation et traçabilite robustes, verifies et ameliores en continu.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Donnees/identites non maitrisees | 3 - Cadre applique avec responsabilites claires | 5 - Maitrise bout-en-bout et amelioration continue

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Securite et confidentialite

Les donnees partagees sont-elles protegees contre fuite et usage abusif ?

Question critique

Sens de la question: Cette question mesure la maitrise des donnees et identites: protection, droits d'acces, traçabilite et conformite du cycle de vie. Point evalue: Les donnees partagees sont-elles protegees contre fuite et usage abusif.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise effective des acces et donnees sensibles tout au long du cycle de vie.

Si tu es entre 0 et 2: Regles d'acces/donnees fragiles, peu de traçabilite ou gouvernance incomplète.

Si tu es a 3: Cadre defini et applique sur les cas principaux, avec quelques zones grises a corriger.

Si tu es entre 4 et 5: Acces, droits, conservation et traçabilite robustes, verifies et ameliores en continu.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Donnees/identites non maitrisees | 3 - Cadre applique avec responsabilites claires | 5 - Maitrise bout-en-bout et amelioration continue

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Auditabilite

Les activites de partage sont-elles journalisees et auditables ?

Sens de la question: Cette question mesure la qualite de la preuve: documents recents, traçabilite, auditabilite et lien direct avec le controle vise. Point evalue: Les activites de partage sont-elles journalisees et auditables.

Ne note pas l'intention: note uniquement ce qui est demontre par une preuve recente et traçable.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Ne note que ce qui est demontre: une preuve recente et traçable prime sur une declaration.

Si tu es entre 0 et 2: Preuves absentes, anciennes ou non reliees directement au controle evalue.

Si tu es a 3: Preuves presentes mais partielles (dates, ownership ou source pas toujours explicites).

Si tu es entre 4 et 5: Preuves auditables completes: source verifiable, date, responsable et lien au controle.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Aucune preuve disponible | 3 - Preuves documentees et datees | 5 - Chaine de preuve robuste et maintenue en continu

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Onboarding participants

L'entree/sortie des participants du schema de partage est-elle controlee ?

Sens de la question: Cette question mesure le niveau de structuration reel du dispositif et sa capacite a tenir dans la duree. Point evalue: L'entree/sortie des participants du schema de partage est-elle controlee.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la realite actuelle du dispositif; en cas de doute entre deux niveaux, choisis le plus bas.

Si tu es entre 0 et 2: Dispositif absent, incomplet ou applique de maniere trop ponctuelle.

Si tu es a 3: Dispositif formel present mais execution inegale ou insuffisamment suivie.

Si tu es entre 4 et 5: Dispositif robuste, regulierement suivi et améliore sur la base de preuves.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Absent / non demarre | 3 - Formalise et applique | 5 - Robuste, mesure et ameliore en continu

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Contractualisation

Les accords de partage couvrent-ils roles, obligations et responsabilites ?

Sens de la question: Cette question mesure la maitrise du risque tiers: qualification, clauses, surveillance continue et scenario de sortie. Point evalue: Les accords de partage couvrent-ils roles, obligations et responsabilites.

Note selon la couverture des tiers critiques (pas seulement la presence d'une politique).

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la maitrise des tiers critiques de bout en bout: selection, clauses, suivi et sortie.

Si tu es entre 0 et 2: Evaluation tiers occasionnelle et peu de controles contractuels effectifs.

Si tu es a 3: Cadre fournisseur etabli sur les tiers majeurs, mais supervision encore heterogene.

Si tu es entre 4 et 5: Couverture complete des tiers critiques avec surveillance continue et reversibilite preparee.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Aucun cadre tiers | 3 - Cadre formel pour tiers critiques | 5 - Maitrise de bout en bout (incluant reversibilite)

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Supervision

Un reporting DGA est-il presente periodiquement aux responsables ?

Sens de la question: Cette question mesure la maturite de pilotage par indicateur: fiabilite de la mesure, seuils, trajectoire et actions correctives. Point evalue: Un reporting DGA est-il presente periodiquement aux responsables.

Note selon la qualite du pilotage: donnees fiables, objectif, seuil d'alerte et plan d'action actif.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note selon la qualite de mesure et de pilotage (objectif, seuil, tendance, action).

Si tu es entre 0 et 2: Indicateur absent ou ponctuel, sans cible ni seuil d'alerte exploitable.

Si tu es a 3: Indicateur suivi regulierement avec objectif, mais pilotage encore partiel ou reactif.

Si tu es entre 4 et 5: Indicateur fiable, seuils actifs, tendance exploitee et decisions d'amelioration tracees.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Non mesure | 3 - Mesure reguliere avec objectif | 5 - Pilotage predictif avec amelioration continue

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Risque

Les risques juridiques, ethiques et operationnels sont-ils evalues ?

Sens de la question: Cette question mesure le niveau de structuration reel du dispositif et sa capacite a tenir dans la duree. Point evalue: Les risques juridiques, ethiques et operationnels sont-ils evalues.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la realite actuelle du dispositif; en cas de doute entre deux niveaux, choisis le plus bas.

Si tu es entre 0 et 2: Dispositif absent, incomplet ou applique de maniere trop ponctuelle.

Si tu es a 3: Dispositif formel present mais execution inegale ou insuffisamment suivie.

Si tu es entre 4 et 5: Dispositif robuste, regulierement suivi et améliore sur la base de preuves.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Absent / non demarre | 3 - Formalise et applique | 5 - Robuste, mesure et ameliore en continu

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Amelioration continue

Les retours d'experience du dispositif de partage sont-ils exploites ?

Sens de la question: Cette question mesure le niveau de structuration reel du dispositif et sa capacite a tenir dans la duree. Point evalue: Les retours d'experience du dispositif de partage sont-ils exploites.

Note la realite actuelle de l'organisation, meme si le dispositif est en cours de construction.

Aide a la reponse (simple et rigoureuse)

Regle pratique: Note la realite actuelle du dispositif; en cas de doute entre deux niveaux, choisis le plus bas.

Si tu es entre 0 et 2: Dispositif absent, incomplet ou applique de maniere trop ponctuelle.

Si tu es a 3: Dispositif formel present mais execution inegale ou insuffisamment suivie.

Si tu es entre 4 et 5: Dispositif robuste, regulierement suivi et améliore sur la base de preuves.

Exemples de preuves attendues:

  • Document date ou export outillage recent.
  • Responsable identifie et frequence de suivi visible.
  • Action corrective tracee avec delai et statut.

Repere echelle: 0 - Absent / non demarre | 3 - Formalise et applique | 5 - Robuste, mesure et ameliore en continu

Ces commentaires sont optionnels et seront analyses par notre module IA souverain afin d'affiner le rapport.

Retour module

Le bouton rapport IA sera active apres enregistrement de l'assessment.