Accueil / Services / Sécurité & RGPD
Service · Sécurité & RGPD · DPO externalisé

Votre stack a 47
sous-traitants.
Votre DPO en connaît 6.

Audit + remédiation codée RGPD · AI Act · DORA · NIS2 Forfait + DPO mensuel

On audite votre exposition réelle (sous-traitants IA, transferts hors UE, registres, AI Act, NIS2), puis nos devs corrigent dans votre code — chiffrement, logs, consentement, anonymisation, IAM. Pas un cabinet juridique qui pond un PDF de 80 pages. Pas un cabinet cyber qui livre 60 findings sans remédier. Un studio qui code et qui audite.

Auditer mon exposition Voir les 4 domaines couverts
2-4 sem.
Cadrage + plan d'action priorisé
35 M€
Sanction max AI Act · 7 % CA
DPO + dev
Une seule équipe, pas trois cabinets
data-flow.audit · acme-saas.io LIVE
scan #142 · 12s ago
EU · FR US EU · DE / IE FRONTIÈRE UE VOUS acme-saas.io Hosting · FR DPA OK AI Model · EU DPA OK AI Provider · US DPA NON SIGNÉ ⚠ TRANSFERT NON ENCADRÉ Payments · US DPF · DPA OK Support · US DPF · À VÉRIFIER CRM · US DPA PÉRIMÉ DB · EU-IE DPA OK EXEMPLE · 47 NODES DÉTECTÉS
31 conformes
11 DPA à mettre à jour
5 transferts non encadrés
EXPOSITION TYPIQUE
0,3 - 2 M€
PME tech 50-300 sal. · à auditer
CNIL · sanctions récentes
35 M€ Amazon France · 2024
5,2 M€ Cookies · presse · 2025
525 k€ PME tech · transfert US
Comment on travaille la conformité Références nominatives sur demande sous NDA — on met en relation avec d'anciens clients avant signature.
NDA mutuel J0 · signé avant tout accès
DPA contractuels · article 28 RGPD intégrés à chaque mission
Sous-traitants UE · Scaleway / OVH / Cloudflare EU
Bonnes pratiques alignées ISO 27001 · checklist appliquée
— Symptômes que vous reconnaissez

Si l'une de ces phrases
vous a déjà traversé l'esprit,
on a un truc à se dire.

Six phrases entendues mot pour mot en call de cadrage avec des CTO, DAF et DPO de PME tech françaises. Si vous en cochez 2, c'est urgent. Si vous en cochez 4, vous êtes déjà exposé à une sanction CNIL ou à un blocage de mise en prod sous AI Act.
CTO · SaaS B2B
« On a signé Anthropic sans lire le DPA. Et OpenAI, et Pinecone, et probablement Vercel. »
Ce qu'on fait : cartographie complète des sous-traitants IA, vérification SCC + résidence données, mise à jour des DPA manquants, registre RGPD propre. Livré en 2 semaines.
DPO interne · ETI 350 salariés
« Notre registre des traitements date de 2022. Personne ne sait où sont les fichiers Excel qui le tenaient à jour. »
Ce qu'on fait : reprise du registre, interviews services, intégration dans un outil (Notion, Dastra, ou votre stack interne), procédure de mise à jour mensuelle. Plus de Excel orphelin.
CEO · startup 25 personnes
« On ne sait pas si l'AI Act nous concerne. Notre feature de scoring candidat sort en septembre 2026. »
Probablement haut risque (Annexe III). Documentation technique, supervision humaine, registre UE, tests de biais à prévoir. Sanction max : 35 M€ ou 7 % CA. On classe + on prépare en 4 semaines.
Lead dev · scale-up 80 pers.
« Notre dernier pentest, c'était… jamais ? Et on vient de signer un client qui demande un SOC 2 Type II. »
Ce qu'on fait : audit applicatif (boîte grise) + SAST/DAST en CI + mise en place des contrôles SOC 2 (logs, IAM, change mgmt, business continuity). Pen-test offensif sous-traité PASSI. SOC 2 readiness en 12-16 semaines.
DAF · groupe industriel
« On a reçu un courrier de la CNIL. Notre avocat habituel ne fait pas de RGPD technique. »
Procédure d'urgence : diagnostic sous 48h, réponse argumentée à la CNIL, plan de mise en conformité défendable, escorte juridique avec un cabinet partenaire si demande contradictoire. Délai légal CNIL : généralement 1 mois.
RH · ETI 600 salariés
« On utilise ChatGPT pour résumer les CV. On ne sait pas si on a le droit. »
Probablement non sans cadrage. Recrutement = traitement à haut risque (RGPD + AI Act 2026). On cadre l'usage : DPIA, formation équipe, contrat ChatGPT Enterprise (zéro entraînement, EU residency), charte interne, validation humaine obligatoire.
Vous reconnaissez d'autres phrases ? Si la vôtre n'est pas dans la liste, on a probablement déjà traité le cas. 30 minutes de cadrage gratuit avec un DPO + un lead dev.
Prendre rendez-vous · 30 min
— Quatre domaines, un seul interlocuteur

Tout ce qu'on couvre,
sans jongler entre 3 cabinets.

Audit, DPO, AI Act, cyber : on prend les 4 dans la même équipe. Vous n'avez qu'un point de contact, qui parle dev quand il faut, juridique quand il faut. Prix de départ affiché. Périmètre cadré au devis, pas en cours de mission.
01
RGPD opérationnel

Registre, DPA, transferts, droits.

On reprend (ou on construit) votre registre de traitements, on audite vos DPA sous-traitants, on encadre les transferts hors UE (SCC + DPF), et on industrialise les demandes d'exercice des droits (accès, effacement, portabilité).

  • Registre Article 30 (responsable + sous-traitant)
  • Audit des DPA et clauses sous-traitants
  • SCC + analyse transferts (Schrems II + DPF)
  • Procédure DSAR & portail d'exercice des droits
  • Bannière cookies + Consent Mode v2 conforme
  • AIPD pour traitements à risque
Délai 2-4 semaines
À partir de 5 000 €
ÉCHÉANCE J-102 · 2 AOÛT 2026
02
AI Act EU

Classifier, documenter, défendre.

Plus que 102 jours avant l'échéance haut risque du 2 août 2026 (RH, scoring, biométrie, éducation, scoring crédit). On classe vos systèmes IA, on documente, on prépare la supervision humaine, et on inscrit au registre UE quand requis.

  • Classification de chaque système IA (Annexes II-III)
  • Documentation technique (Article 11)
  • Tests de biais & supervision humaine
  • Charte interne IA + formation AI literacy équipe
  • Logs & traçabilité décisions IA (codé en prod)
  • Inscription registre UE pour haut risque
Délai 4-6 semaines
À partir de 15 000 €
03
Cyber audit applicatif

Code, infra, CI, IAM.

Audit boîte grise sur votre code applicatif (OWASP Top 10), revue infra cloud (IAM, secrets, policies, network), pipeline SAST/DAST en CI. Pen-test offensif lourd sous-traité à un partenaire qualifié PASSI ANSSI. SOC 2 Type II readiness possible.

  • Audit code OWASP Top 10 + revue archi
  • Pipeline SAST/DAST/SCA en GitHub Actions
  • Revue cloud (AWS / Scaleway / OVH) + IAM
  • Plan de remédiation chiffré et priorisé
  • SOC 2 / ISO 27001 readiness (option)
  • Pen-test PASSI sous-traité (option)
Délai 3-5 semaines
À partir de 8 000 €
04
DPO externalisé

Forfait mensuel, engagement contractuel.

Vous nommez Hagnéré Code comme DPO externe auprès de la CNIL. Veille AI Act / DORA / NIS2, revue mensuelle des nouveaux traitements et features IA avant mise en prod, AIPD, formation équipes, point de contact CNIL en cas de plainte ou contrôle.

  • DPO certifié AFNOR + CIPP/E in-house
  • Désignation officielle CNIL incluse
  • Revue mensuelle (1 h visio + livrable)
  • 1 à 4 AIPD / an selon formule
  • Veille AI Act / DORA / NIS2 / CRA
  • Slack dédié, SLA 4 h sur incidents
Engagement 12 mois
À partir de 1 200 € / mois
Particularité Hagnéré Code : nos devs internes corrigent directement dans votre code (chiffrement, logs, IAM, anonymisation, consent mode). Ni Lexing ni Wavestone ne touchent aux PR. Nous oui.
Vous êtes au bon endroit si…
vous voulez un DPO certifié et des PR mergées dans le même forfait.
Cadrer mon projet · 30 min Voir les tarifs
— Comment on travaille ensemble

Le trio
conformité & code.

Trois moments distincts, trois facturations distinctes, zéro confusion. Cadrage en forfait fixe. DPO en abonnement mensuel. Remédiation en sprint dev quand c'est nécessaire. Vous voyez où va chaque euro.
01
CADRAGE · FORFAIT FIXE

2-4 semaines pour tout cartographier.

On part de votre stack et on remonte jusqu'au registre. Sous-traitants, transferts, traitements, systèmes IA, surface d'attaque applicative. À la fin, vous avez un plan d'action priorisé, chiffré, défendable face à la CNIL.

  • Cartographie sous-traitants + flux de données
  • Gap analysis RGPD / AI Act / NIS2 / DORA
  • Audit applicatif (boîte grise) + revue infra
  • Plan d'action priorisé + chiffrage remédiation
  • Restitution 90 min visio + rapport 25-40 p.
Forfait à partir de
5 000 € HT
déduit à 100 % du DPO mensuel si signature sous 60 j
02
DPO MENSUEL · ABONNEMENT

Une équipe DPO + tech
sur toute l'année.

Vous nous nommez DPO externe auprès de la CNIL. On suit la veille (AI Act, NIS2, sanctions), on relit chaque nouvelle feature avant prod, on mène les AIPD, on est le point de contact en cas de plainte ou contrôle. Pas de TJM aveugle.

  • Désignation officielle CNIL
  • Revue mensuelle 1 h + livrable structuré
  • 1 à 4 AIPD / an + revues features IA illimitées (Scale)
  • Veille AI Act / DORA / NIS2 / CRA
  • Slack dédié, SLA 4 h ouvrées sur incidents
Abonnement
1 200 - 3 500 € / mois
selon nombre de salariés et systèmes IA · engagement 12 mois
03
REMÉDIATION CODÉE · SPRINT DEV

Nos devs corrigent
dans votre code.

Là où Lexing pond un PDF et Wavestone laisse un rapport, nous on rentre dans votre repo. Chiffrement, logs, IAM, gestion des consentements, anonymisation, pipeline SAST/DAST, policies cloud — codés, testés, mergés. Sprint Hagnéré standard, à votre cadence.

feat/ai-act-logs main OPEN
feat(ai-act): structured logs on every model inference + human override #427 · hagnere-code
apps/api/src/ai/inference.service.ts
+12async runInference(input: ScoringInput) {
+13+ const decisionId = uuid();
+14+ await this.aiAuditLog.record({ decisionId, input, model, version });
+15 const result = await this.model.score(input);
+16+ await this.aiAuditLog.attachResult(decisionId, result);
+17+ if (result.score > THRESHOLD) return this.humanReview.queue(decisionId);
+18 return result;
+19}
ci · tests passed (47/47) snyk · 0 vuln review · 1 pending
  • PR ouvertes sur votre repo Git
  • Tests de non-régression sur chaque correction
  • Pair-programming avec vos devs (transfert)
  • Ré-audit gratuit en fin de sprint
  • Documentation technique livrée
Sprint dev
Forfait par lot
potentiellement éligible CIR sur la part R&D · à valider avec votre expert-comptable
J+0 J+14 J+30 J+90 continu
CADRAGE DPO MENSUEL · CONTINU REMÉDIATION · SPRINTS À LA DEMANDE
— Pourquoi pas un cabinet classique

Trois manières d'externaliser
la conformité. Une seule
vous laisse du code corrigé.

On ne dénigre personne. Lexing, Haas, DPMS, Wavestone, Synacktiv font tous très bien leur métier. Mais aucun ne touche à votre code. C'est précisément ce qui manque aux PME tech qui doivent remédier vite et tenir le tempo de leur roadmap produit.
CABINET JURIDIQUE
Lexing · Haas · DPMS · Osborne Clarke
CABINET CYBER
Wavestone · Synacktiv · Almond · Lexfo · XMCO
HAGNÉRÉ CODE
Studio dev + DPO + cyber audit
Audit RGPD & AI Act
Excellent
× Pas leur métier
DPO certifié AFNOR
Pen-test offensif lourd
× Aucun
Excellent · PASSI
~ Sous-traité PASSI
Audit applicatif (boîte grise)
× Aucun
OWASP, SAST, DAST
Inclus dans le forfait
Remédiation codée dans votre repo
× Jamais
× Jamais (rapport seul)
PR mergées
Conformité IA "by design"
~ En cabinet, pas dans le code
× Hors périmètre
On construit déjà des agents IA
Représentation CNIL en cas de contrôle
Avocat habilité
× Aucune
~ Avec cabinet partenaire
Délai d'intervention
2 à 4 mois
3 à 6 mois
2 à 4 semaines
Format de facturation
Honoraires + TJM
Forfait audit + j/h
Forfait + abonnement
Prix de départ affiché
× Sur devis
× Sur devis
Affiché publiquement
QUAND CHOISIR LEXING / HAAS

Vous avez besoin d'un avocat habilité pour porter une procédure contradictoire face à la CNIL, ou un contentieux de droit du numérique. C'est leur cœur de métier, pas le nôtre.

QUAND CHOISIR WAVESTONE / SYNACKTIV

Vous êtes une banque, une OIV (au sens LPM / SAIV ANSSI), une entité essentielle NIS2 au sens le plus strict, ou vous préparez une certification ISO 27001 lourde. Leur red team et leurs équipes PASSI sont parmi les meilleures d'Europe.

QUAND CHOISIR HAGNÉRÉ CODE

Vous êtes une PME tech 10-500 salariés, vous voulez de la conformité actionnable et codée, et vous refusez de payer 2 cabinets pour avoir un PDF d'un côté et un rapport de l'autre.

Voir nos tarifs
— Coût de l'inaction

Ce que la CNIL sanctionne
réellement en 2025-2026.

Pas un argumentaire de la peur — des chiffres publics. Ce qui est sanctionné, ce que ça coûte aux PME tech, et à l'inverse, ce que la conformité débloque côté business (deals SOC 2, contrats grands comptes, passage en levée de fonds).
CE QUE ÇA COÛTE

Sanctions publiques 2024-2025.

  • 32 M€
    Amazon France Logistique PUBLIC · 2023
    Surveillance excessive des salariés (badges, scanners de productivité)
  • 5,2 M€
    Groupe presse FR ANONYMISÉ · 2025
    Cookies sans consentement valide · dark patterns sur le bouton "Refuser"
  • 525 k€
    PME SaaS · 80 salariés ANONYMISÉ · 2025
    Transferts US sans SCC + DPA absents (Anthropic, Intercom, HubSpot)
  • 200 k€
    E-commerçant · 25 salariés ANONYMISÉ · 2024
    Exercice des droits (effacement) non traité dans les délais légaux
  • 90 k€
    Cabinet recrutement ANONYMISÉ · 2025
    Données candidats conservées 7 ans + ChatGPT non encadré
Plafond AI Act 2026 : 35 M€ ou 7 % du CA mondial — selon le plus élevé.
CE QUE ÇA DÉBLOQUE

Cinq leviers business
activés par la conformité.

  • SOC 2
    Deals enterprise débloqués LEVIER · OBSERVÉ CHEZ CLIENTS
    Sans SOC 2 Type II, pas de signature avec une banque, une assurance ou un grand compte tech. Cycle de vente débloqué dès la prep livrée.
  • AO PUB.
    Marchés publics accessibles LEVIER · OBSERVÉ CHEZ CLIENTS
    DPA propre + hébergement souverain + ISO 27001 en cours = candidatures recevables aux AO ministère / collectivités.
  • DD VC
    Levée de fonds plus rapide LEVIER · OBSERVÉ CHEZ CLIENTS
    Due diligence juridique des VC passe sans retake quand le registre + AIPD + DPA sont en ordre. Évite le red flag.
  • PRE-SALES
    Cycle commercial raccourci LEVIER · OBSERVÉ CHEZ CLIENTS
    DPA + AIPD + diagramme flux prêts en pré-sales = passage RSSI client en 1 call au lieu de 3.
  • CIR
    Crédit Impôt Recherche LEVIER · SOUS RÉSERVE D'ÉLIGIBILITÉ
    Sprints de mise en conformité IA (logs, classification, biais, supervision) potentiellement éligibles CIR — à valider avec votre expert-comptable.
Mythe : "la conformité ralentit la roadmap". Réalité : elle débloque les deals enterprise, les AO publics et la levée de fonds.
— Ce qui est inclus

Transparence totale
sur chaque livrable.

Voici ce qui rentre dans le forfait cadrage + abonnement DPO. Et ce qui n'y rentre pas (plutôt que de le découvrir à J+30 sur une facture surprise).
INCLUS DANS FORFAIT + DPO

Tout ce qui rend la conformité
défendable et opérationnelle.

  • Cartographie sous-traitants — outil interne, mise à jour mensuelle, alerte sur les nouveaux SaaS détectés.
  • Registre Article 30 — responsable + sous-traitant, livré dans Notion ou Dastra selon votre stack.
  • Audit DPA — relecture de tous les sous-traitants identifiés en cartographie, classés par criticité (accès données / transferts / durée), négociation amendements si nécessaire.
  • SCC + DPF — analyse des transferts hors UE, clauses contractuelles types signées avec sous-traitants US.
  • AIPD incluses — 1 à 4 analyses d'impact selon formule, sur traitements à risque (recrutement IA, scoring, biométrie).
  • Procédure DSAR — process d'exercice des droits accès / effacement / portabilité, traité sous 1 mois.
  • Bannière cookies + Consent Mode v2 — paramétrage Tag Manager côté serveur si besoin.
  • Classification AI Act — chaque système IA classé Annexe II/III, doc technique Article 11.
  • Audit applicatif boîte grise — OWASP Top 10, revue archi, IAM cloud, secrets management.
  • Pipeline SAST/DAST en CI — Snyk + ZAP + Trivy intégrés à votre GitHub Actions / GitLab CI.
  • Veille AI Act / NIS2 / DORA / CRA — newsletter mensuelle + alertes sur changements applicables à vous.
  • Slack dédié + SLA 4 h ouvrées — sur tout incident bloquant ou demande CNIL urgente.
HORS SCOPE (ON LE DIT TÔT)

Ce qui n'est pas dans le forfait.

  • Pen-test offensif lourd PASSI — sous-traité à un partenaire qualifié ANSSI, refacturé.
  • Procédure contradictoire CNIL — si la CNIL ouvre une procédure formelle, c'est un avocat habilité (Lexing, Haas) qui prend le relai. On vous y emmène, on n'y entre pas seuls.
  • Certification ISO 27001 finale — l'audit certifiant est mené par AFNOR / Bureau Veritas. On vous met en condition (12-16 sem.) puis on présente avec vous.
  • Audit SOC 2 Type II final — l'attestation est délivrée par un cabinet CPA (Drata, Vanta, ou cabinet US). On prépare, on présente, ils valident.
  • Achat des licences SaaS conformes — abonnement Drata, OneTrust, Dastra, OVHcloud Trust : à votre charge.
  • Formation grand public — on forme votre équipe interne (DPO, dev, RH). Pour des sessions ouvertes au public, voir notre offre formation.
  • Contentieux civil / pénal cyber — escroquerie, ransomware avec dépôt de plainte : avocat spécialisé + experts judiciaires. On vous oriente.
— Les missions qu'on décline

Certains dossiers de conformité
ne sont pas pour nous.

On ne filtre pas sur le secteur — on filtre sur la faisabilité, la légalité et l'éthique. Si votre dossier coche l'une des cases ci-contre, on déclinera franchement, quelle que soit la taille du budget.

Dire non à certains dossiers, c'est la seule manière de garantir une vraie conformité sur ceux qu'on prend.

  • "Faites-nous un RGPD de façade"

    Bannière cookies bidon avec bouton refuser caché, mention légale copiée-collée, registre vide. Si l'objectif est de cocher la case sans changer les pratiques, on passe. On ne vend pas de la conformité de façade.

  • Systèmes IA "à risque inacceptable" (Article 5 AI Act)

    Notation sociale généralisée, manipulation cognitive, identification biométrique en temps réel dans l'espace public. Pas de contournement possible — c'est interdit en UE depuis février 2025. Mauvaise idée même hors UE.

  • Fausse certification ou faux DPO

    "Mettez votre logo SOC 2 sur le site" alors qu'aucun audit n'a été passé. "Désignez quelqu'un comme DPO" pour cocher la case CNIL. Si l'idée c'est de mentir, on ne participe pas.

  • Mise en demeure CNIL à J-2 du délai

    Si vous nous contactez à 48 h du délai légal, on ne peut pas livrer une réponse défendable. Dès 5 jours ouvrés restants, on peut engager la procédure d'urgence (symptôme n°5). En deçà, on oriente vers un avocat habilité pour demander un délai officiel à la CNIL, puis on travaille sérieusement.

  • "On veut juste un PDF, pas de remédiation"

    C'est le job d'un cabinet juridique pur (Lexing, Haas) ou d'un cabinet cyber pur (Wavestone, Synacktiv) — ils sont meilleurs que nous sur ce livrable. Notre valeur c'est le code corrigé derrière le rapport.

  • Projet sans sponsor unique côté client

    La conformité touche dev, RH, marketing, ops, direction, achats. Sans un sponsor unique qui arbitre, on n'avance pas. On fait un cadrage payant en amont si le sujet n'est pas clair.

  • Relations commerciales toxiques

    Mépris des équipes, micro-management agressif, exigence de "garantie zéro sanction" (impossible), négociations permanentes. La vie est courte, on passe même sur un budget intéressant.

— Forfaits & tarifs

Forfait, abonnement
ou sprint, prix affiché.

Quatre options. Le cadrage en forfait fixe pour démarrer. Deux niveaux de DPO mensuel selon votre taille. Et la remédiation codée à la demande quand on doit corriger dans le repo. Pas de "sur devis" déguisé.
PHASE 01

Cadrage initial

Cartographie, gap analysis, audit applicatif, plan d'action chiffré. Sans engagement de suite.
5 000 € HT
  • Cartographie sous-traitants
  • Gap RGPD / AI Act / NIS2
  • Audit applicatif boîte grise
  • Plan d'action chiffré
  • Restitution 90 min visio
Démarrer un cadrage
déduit à 100 % du DPO mensuel si signature sous 60 j
DPO · 01

DPO Starter

Pour PME tech 10-100 salariés, 1-3 systèmes IA, peu de transferts hors UE.
1 200 € / mois
  • Désignation officielle CNIL
  • Revue mensuelle 1 h
  • 1 AIPD / an
  • Veille AI Act / NIS2
  • SLA 8 h ouvrées
Demander un devis
engagement 12 mois
LE PLUS CHOISI
DPO · 02

DPO Scale

Pour scale-ups 100-500 salariés, plusieurs systèmes IA haut risque, transferts internationaux fréquents.
3 500 € / mois
  • Tout DPO Starter, +
  • Revues bi-mensuelles 1 h
  • Revues features IA illimitées
  • 4 AIPD / an
  • Slack dédié, SLA 4 h
  • Support contrôle CNIL inclus
Démarrer ce pack
engagement 12 mois · le plus pris en série A/B
REMÉDIATION

Sprint dev codé

Quand le rapport pointe une faille (chiffrement, IAM, consent, anonymisation), nos devs codent la correction directement dans votre repo.
3-15 k€ / lot
  • Forfait par lot cadré au planning
  • PR ouvertes sur votre Git
  • Tests de non-régression
  • Pair-prog avec vos devs
  • Ré-audit gratuit en fin
Cadrer un sprint
potentiellement éligible CIR sur la part R&D · à valider avec votre expert-comptable

Tous les forfaits incluent : NDA mutuel J0 · DPA contractualisé · sous-traitants UE par défaut (Scaleway / OVH / Cloudflare EU) · bonnes pratiques alignées ISO 27001. TVA en sus. Prix valables 30 jours.

— Preuves & références

On ne met pas de faux
témoignages. On vous met
en relation directe.

Beaucoup de pages "Sécurité & RGPD" affichent des quotes anonymes ou des chiffres sans source. Pas nous. Notre process de référence en 3 étapes : NDA mutuel, accès au case study chiffré, appel direct avec l'ancien client. Pas de témoignage 5 étoiles fabriqué.
01
SOUS NDA · J+1

NDA mutuel signé.

Sous NDA mutuel (que vous pouvez nous proposer ou qu'on vous fournit en 24 h), on vous transmet 3 case studies anonymisés détaillés :

  • Périmètre & secteur du client
  • Délais réels (devis → livraison)
  • Findings d'audit + remédiations
  • Coût total & ce qui a été débloqué
02
APPEL CLIENT · J+5

Appel direct avec un
ancien client.

On vous met en relation avec un ou deux anciens clients dans votre vertical (SaaS B2B, DTC, scale-up, ETI). Sans nous au milieu. Vous leur posez les questions qui fâchent :

  • Comment ils sont vraiment ?
  • Délais tenus ou pas ?
  • Qualité des PR remédiées ?
  • Recommanderaient ou pas ?
03
CODE · J+7

PR de remédiation
réelles montrées.

Sous NDA, on vous montre 3 à 5 vraies PR qu'on a ouvertes chez d'anciens clients (anonymisées : noms de variables et logique métier masqués, mais le code de remédiation est réel) :

  • Chiffrement at-rest ajouté
  • Logs IA structurés (AI Act)
  • Anonymisation pipeline GA4
  • Consent Mode v2 server-side
Vraies preuves, pas de marketing. Si après ces 3 étapes vous n'êtes pas convaincu, on vous remboursera votre temps de cadrage. 1 semaine, et vous décidez.
Démarrer le process · NDA
— Engagements contractuels

Ce qu'on signe
avant de démarrer.

On détaille ici comment on travaille — écrit noir sur blanc dans les CGV, pas dans la brochure. NDA mutuel signé J0, DPA contractualisé, sous-traitants UE par défaut, bonnes pratiques alignées ISO 27001.

Forfait fixe, sans success fee

Le prix du devis est le prix final. Zéro commission sur une sanction évitée, zéro ticket surprise. On vend du travail cadré, pas de la peur.

— Pénalités contractuelles si retard

Tous vos livrables, tout de suite

Registre, AIPD, plan d'action, scripts d'audit, code de remédiation : vous y accédez dès qu'ils existent, sur votre Notion et votre Git. Aucun outil propriétaire Hagnéré obligatoire.

— Cession écrite dans les CGV

CIR : on monte le dossier avec vous

Les sprints de mise en conformité IA (logs, classification, biais, supervision) sont potentiellement éligibles au CIR sur la part R&D. On monte le dossier technique, votre expert-comptable valide l'éligibilité finale.

— Dossier technique livré · sous réserve d'éligibilité

Formation post-livraison incluse

Ateliers RGPD / AI Act / cybersécurité pour vos équipes (dev, RH, direction), inclus à chaque mission DPO. Documentation pédagogique + Loom vidéo + suivi 30 / 90 jours.

— Inclus dans tous les forfaits DPO

Slack dédié · SLA 4 h ouvrées

Canal Slack partagé avec le DPO + le lead dev référent. Réponse sous 4 h ouvrées sur tout incident bloquant (mise en demeure CNIL, fuite, breach). Pas de ticket Jira aveugle.

— SLA contractualisé au DPO Scale

Transparence sur les sous-traitants

Liste publique des sous-traitants qu'on utilise pour votre mission (hébergement, outils audit, modèles IA). DPA à jour sur chacun. Si on en change, on vous prévient avant.

— Registre consultable sur demande
— FAQ commerciale

Les 10 questions
qu'on entend avant
de signer.

Si la vôtre n'y est pas, écrivez-nous. On répond sous 24 h ouvrées, par un DPO senior, sans détour.

Vous êtes une agence ou un cabinet juridique ?
Ni l'un ni l'autre. On est un studio dev qui a structuré une équipe DPO + cyber audit en interne. Notre angle : on code la remédiation, là où Lexing pond un PDF et Wavestone livre un rapport. Pour une procédure contradictoire CNIL ou un contentieux, on collabore avec un cabinet partenaire.
Vous pouvez vraiment être notre DPO officiel ?
Oui, désignation officielle CNIL. Vous nous nommez via le formulaire CNIL, on apparaît comme point de contact officiel pour vos clients, partenaires et l'autorité. Engagement contractuel sur la disponibilité (réponse 4 h ouvrées) et le traitement des incidents (notification CNIL 72 h).
Combien de temps avant le premier livrable ?
2 semaines pour un cadrage simple (PME 10-50 salariés, peu de systèmes IA). 4 semaines pour un cadrage complet incluant audit applicatif boîte grise + classification AI Act détaillée. Le DPO mensuel démarre dès la signature, pas après le cadrage.
Pourquoi 12 mois d'engagement sur le DPO ?
La désignation DPO auprès de la CNIL implique une stabilité de mandat — la CNIL n'apprécie pas les changements toutes les 4 semaines. 12 mois est le standard du marché. Au-delà, reconduction tacite avec préavis 60 jours.
Si on a déjà un cabinet juridique, vous le remplacez ?
Pas forcément. Garder votre avocat habilité fait sens (contentieux, droit social, droit commercial). On prend le DPO + l'audit + la remédiation codée. Beaucoup de nos clients gardent Lexing ou Haas pour les parties contentieuses, et nous pour le pilotage opérationnel.
Vous garantissez zéro sanction CNIL ?
Non. Personne de sérieux ne garantit ça. La CNIL peut sanctionner sur des sujets qu'on n'a pas encore audités, sur de nouveaux usages déployés en interne sans nous prévenir, ou sur l'interprétation jurisprudentielle d'un texte. On garantit la méthode, les jalons, les délais contractuels, et un suivi continu pour minimiser le risque.
Vos prix sont vraiment fixes ou il y a des dépassements cachés ?
Forfait fixe sur le périmètre validé au devis. Si vous ajoutez un nouveau système IA en cours de mission ou si vous nous demandez une procédure non prévue (ex. réponse à un contrôle CNIL), on devise séparément avant de commencer. Aucun avenant surprise sur la facture du mois.
Vous êtes un partenaire CNIL ?
Non, et personne ne l'est — la CNIL ne délivre pas ce statut. Méfiez-vous des cabinets qui revendiquent ça. Ce qui existe : être membre AFCDP (ce qu'on est) et avoir une certification de personne (CIPP/E, AFNOR DPO) — ce qu'on a aussi.
Si on part, on récupère quoi ?
Tout : registre, AIPD, plan d'action, scripts d'audit, code de remédiation, configuration Tag Manager / Consent Mode, charte interne IA. Tout est livré sur votre Notion / Git / drive. Désignation CNIL retransférée à votre nouveau DPO. Passation 30 jours incluse.
Combien ça coûte de vraiment démarrer ?
5 000 € pour le cadrage initial (déduit à 100 % du DPO mensuel si vous signez sous 60 jours). 1 200 € à 3 500 €/mois pour le DPO externalisé (engagement 12 mois). Sprint de remédiation codée à la carte. Prix affichés sur la section Forfaits & tarifs.
— Pour les profils techniques

Les questions qu'un CTO ou
un DPO technique nous pose
à chaque appel.

Huit questions techniques qu'on entend systématiquement de la part des CTO, DPO techniques, RSSI de PME tech qui évaluent une équipe DPO + cyber. Réponses directes, sans jargon marketing.
Outils internes d'audit — qu'est-ce que vous utilisez ?
Cartographie sous-traitants : outil maison Hagnéré (scan DNS + scan code source via GitHub App + scan factures comptables). Pipeline SAST/DAST/SCA : Snyk + Trivy + ZAP intégrés GitHub Actions. Scan IAM cloud : Steampipe + Prowler + ScoutSuite (AWS / GCP / Azure / Scaleway). Test de charge sécurité : k6 + artillery. Cookies / consent : audit manuel + Optanon + Tarte au Citron compliance check.
Vous "rentrez dans notre code" — concrètement, comment ?
Vous nous donnez un accès read-only sur votre repo (GitHub / GitLab / Bitbucket). On fork, on lit, on ouvre des issues prioritisées. Pour la remédiation, on demande un accès collaborator temporaire, on ouvre des PR avec tests. Vous mergez (ou pas) après code review interne. Aucune écriture sans validation. Logs d'accès tracés.
Comment vous gérez les rapports d'audit confidentiels ?
Workspace privé restreint (Notion ou Confluence selon client) avec MFA obligatoire pour la collaboration courante. Rapports d'audit sensibles (findings cyber, schémas archi, credentials test) stockés chiffrés via Cryptomator sur Scaleway Object Storage chiffré au repos. Secrets partagés via 1Password avec rotation au départ d'un consultant. Aucune copie sur drive personnel. Suppression sécurisée 12 mois après fin de mission (ou immédiate sur demande). Conforme à nos politiques internes alignées ISO 27001.
Pour SOC 2 Type II, vous remplacez Drata / Vanta ?
Non, on les complète. Drata / Vanta automatisent la collecte de preuves. Nous, on conçoit et on code les contrôles eux-mêmes (IAM, change management, business continuity, monitoring). On installe Drata avec vous, on configure les intégrations (AWS, GitHub, Okta), on comble les contrôles manquants en code. L'audit final reste avec un cabinet CPA accrédité.
AI Act — concrètement, qu'est-ce que vous codez ?
(1) Logs structurés de chaque inférence IA (input, output, modèle, version, timestamp, user). (2) Mécanismes de supervision humaine (UI de validation pour décisions à haut risque, override loggé). (3) Tests de biais automatisés sur les datasets et les outputs. (4) Documentation technique Article 11 versionnée dans le repo. (5) Procédure de retrait de modèle si un biais est détecté en prod. Tout est code + tests + monitoring, pas un PDF mort.
Cookies / Consent Mode v2 — vraiment compliant ou alibi ?
Vraiment. (1) Bannière conforme CNIL (refuser aussi visible que accepter, pas de cookie wall). (2) Tag Manager côté serveur (Stape.io ou Cloudflare Worker) qui ne déclenche aucun pixel avant consentement. (3) Consent Mode v2 avec signaux ad_personalization / ad_user_data configurés. (4) Audit régulier via Cookie-Script + tests Playwright qui simulent un refus et vérifient qu'aucun cookie tiers ne se pose.
Transferts hors UE — votre méthode pour les SCC ?
(1) Inventaire de chaque sous-traitant US (Anthropic, OpenAI, Vercel, HubSpot, Intercom, Stripe, etc.) via scan code + DNS + factures. (2) Vérification de l'adhésion EU-US Data Privacy Framework (DPF). Si non-DPF : SCC Module 2/3 à signer. (3) Transfer Impact Assessment par sous-traitant si données sensibles. (4) Préférence systématique pour régions EU si disponibles (Anthropic EU, OpenAI EU resi, Stripe EU). Documenté dans le registre.
Réponse à incident (data breach) — votre runbook ?
T+0 : confinement (rotation creds, isolation système). T+2 h : qualification (qui, quoi, combien de personnes concernées, données impactées). T+24 h : décision de notification CNIL (obligatoire si risque pour les droits). T+72 h : notification CNIL si nécessaire (déclaration en ligne via votre compte). T+5 j : notification individuelle aux personnes concernées si risque élevé. Runbook complet livré au DPO Scale, exercice annuel inclus.
— Prochaine étape

Auditons votre exposition.
2 semaines, livrable chiffré.

Un cadrage avec un DPO + un lead dev. On cartographie vos sous-traitants, vos flux, vos risques RGPD / AI Act / NIS2 — et on chiffre la remédiation à la fin du sprint.

— Prochaine étape

Parlons de
votre projet. 30 minutes, c'est tout.

Choisissez ce qui vous va : un créneau direct avec un associé, un email rapide, ou un formulaire si vous préférez écrire. Réponse sous 24 h ouvrées, toujours.

LE PLUS RAPIDE
30 min avec un associé

Pas un commercial, pas un chef de projet : un associé qui code vous écoute, vous donne un avis franc, et repart avec votre brief si ça matche.

Réserver un créneau
Sans engagement · visio ou téléphone
Email
quentin@hagnere-patrimoine.fr
Téléphone
+33 3 74 47 20 18
Adresse
7 rue Ernest Filliard
73000 Chambéry
OU ÉCRIVEZ-NOUS
Formulaire projet

En envoyant ce formulaire, vous acceptez que vos données soient utilisées pour vous répondre. Pas de newsletter, pas de partage à des tiers.

🇫🇷 Équipe 100% en FranceDonnées hébergées en France (OVH / Scaleway)Conformité RGPD · DPO interne