ROOMCA me certifie-t-il ISO 27001 ?

Non. ROOMCA est un outil pour préparer et documenter votre conformité. La certification finale reste délivrée par un organisme certificateur agréé (COFRAC, UKAS, BSI).

Quels référentiels sont couverts ?

8 référentiels : RGPD, NIS2, ISO 27001, ISO 22301, DORA, CRA, HDS, ANSSI 42. La liste s'enrichit. Si un référentiel vous intéresse et n'est pas couvert, écrivez-nous.

Je ne suis concerné que par RGPD, je peux acheter juste ça ?

Oui. La vente est à la carte. Vous activez uniquement les référentiels qui vous concernent. Le devis est établi sur la base des seuls référentiels activés.

Qui peut compléter les exigences ?

Vous répartissez les exigences entre les responsables internes (RSSI, DPO, RH, IT). Chaque personne ne voit que ce qui la concerne.

Les preuves sont-elles stockées où ?

Sur l'infrastructure ROOMCA, hébergée en France (Scaleway). Pas de transfert hors UE pour les données clients.

Puis-je exporter les données ?

Oui. Export PDF du rapport, export CSV des preuves, API pour intégration avec vos outils de GRC existants.

Le rapport ROOMCA suffit-il à prouver ma conformité à la CNIL ou à l'ANSSI ?

Non. Le rapport est un livrable d'aide à la décision et de préparation. Il ne se substitue pas à un contrôle officiel par une autorité ni à une certification par un organisme accrédité. Détails dans la section "Périmètre du module" ci-dessous.

Conformité

L'audit conformité, sans la paperasse

Auto-évaluation par exigence, preuves attachables, rapport préfait en un clic. ROOMCA couvre 8 référentiels (RGPD, NIS2, ISO 27001, ISO 22301, DORA, CRA, HDS, ANSSI 42) sans vous noyer dans 400 pages.

RGPDNIS2ISO 27001ISO 22301DORACRAHDSANSSI 42

Référentiels couverts

référentiels suivis dans la même plateforme.

RGPD, NIS2, ISO 27001, ISO 22301, DORA, CRA, HDS, ANSSI 42. Vous suivez plusieurs cadres en parallèle, sans dupliquer la preuve.

Source · Plateforme ROOMCA · 2026

Concrètement, ça change quoi

Auto-évaluation

exigence par exigence

parcours guidé · état + preuve + responsable.

Conforme, partiel, non. Le score d'avancement se met à jour en direct, référentiel par référentiel.

Vous savez à tout moment où vous en êtes, sans tableau Excel parallèle.

Fonctionnalité ROOMCA

Preuves attachées

centralisées

PDF, captures, rapports ROOMCA, charte interne.

Pour chaque exigence, vous attachez la preuve attendue par l'auditeur. Historique complet conservé.

Si l'auditeur demande "et il y a un an ?", vous avez la réponse.

Fonctionnalité ROOMCA

Rapport audit

1 PDF

Executive Summary livré clé en main.

Conformité, risques, formation, ROI estimé. Calibré pour être lu par un auditeur, un comité ou la direction.

Pas d'extraction manuelle, pas de mise en page à reprendre.

Fonctionnalité ROOMCA

Pourquoi ROOMCA

Une preuve, pas une promesse

Les auditeurs ne demandent pas si vous formez, ils demandent les preuves. ROOMCA vous fournit les preuves au format attendu, sans extraction manuelle.

Auto-évaluation

Répondez aux exigences une par une, dans un parcours guidé. Le score d'avancement se met à jour en direct.

Preuves attachables

Pour chaque exigence : attachez le PDF, la capture, le rapport ROOMCA, la charte. Tout reste centralisé.

Rapport audit

Un PDF Executive Summary, conformité, risques, formation, calcul ROI, prévu pour être lu par un auditeur ou un comité.

Vue par référentiel

RGPD, NIS2, ISO 27001, ISO 22301, DORA, CRA, HDS, ANSSI 42. Chaque référentiel a sa progression, ses exigences, son rapport.

Historique

Toutes les preuves, toutes les versions, toutes les dates. Si l'auditeur demande "et il y a un an ?", vous avez la réponse.

Répartition

Assignez chaque exigence à un responsable. Les rappels automatiques vont à la bonne personne.

Comment ça marche

Conduire un audit interne

Choisir le référentiel

RGPD, NIS2, DORA, ISO 27001, etc. Vous pouvez en suivre plusieurs en parallèle.

Répondre par exigence

Le parcours vous guide pas-à-pas. Pour chaque exigence : état (conforme, partiel, non), preuve, responsable.

Générer le rapport

PDF Executive préfait, calibré pour être montré à un auditeur, un comité ou la direction.

Vue par référentiel

Un score par cadre, à jour en temps réel.

NIS2, RGPD, DORA, ISO 27001 : chaque référentiel a son onglet, sa progression et ses exigences. Vous voyez en un coup d'œil ce qui est couvert, ce qui est partiel, ce qui manque, et qui est responsable de la prochaine action.

Score par référentiel, mis à jour à chaque preuve
Exigence par exigence, état + preuve + responsable
Historique complet conservé pour les audits futurs
Export PDF Executive en un clic

De la question à la preuve, sans tableur

Tableau de bord Conformité ROOMCA · NIS2, RGPD, DORA suivis en parallèle

FAQ

Questions fréquentes

Périmètre du module

Vente à la carte, périmètre clair, exclusions assumées.

Le module Conformité ROOMCA est un audit organisationnel auto-déclaratif. Vous activez uniquement les référentiels qui vous concernent. Le rapport ROOMCA ne remplace ni un audit technique (pentest), ni une certification par organisme accrédité, ni un contrôle officiel par une autorité (CNIL, ANSSI, ACPR), ni un avis juridique opposable.

1. Objet du module

Le module « Conformité » est un outil d'auto-évaluation organisationnelle de la conformité cyber. Il évalue la maturité, identifie les écarts et priorise le plan d'action sur les huit référentiels couverts. Les présentes informations complètent les CGU générales et la Politique de Confidentialité sans s'y substituer.

2. Référentiels couverts

RGPD · Règlement (UE) 2016/679 sur la protection des données personnelles.
NIS2 · Directive (UE) 2022/2555 sur la cybersécurité des entités essentielles et importantes.
ISO/IEC 27001:2022 · Système de management de la sécurité de l'information.
ISO/IEC 22301:2019 · Système de management de la continuité d'activité.
CRA · Cyber Resilience Act, Règlement (UE) 2024/2847 (produits avec éléments numériques).
DORA · Digital Operational Resilience Act, Règlement (UE) 2022/2554 (secteur financier).
HDS · Hébergement de Données de Santé, référentiel ANS v1.1.
ANSSI 42 · Guide d'hygiène informatique de l'ANSSI.

Une matrice cross-référentielle interne mappe les exigences communes entre ces huit textes pour mutualiser une partie des questions.

3. Vente à la carte et éligibilité

Tous les référentiels ne s'appliquent pas à toutes les organisations. Vous activez uniquement les référentiels pertinents pour votre périmètre, votre taille et votre secteur. Aucun pack indivisible n'est imposé.

Synthèse indicative (ne se substitue pas à une analyse juridique individuelle) :

Référentiel	Caractère	Concernés	Non concernés
RGPD	Obligatoire	Toute organisation traitant des données personnelles UE.	Aucune (sauf usage strictement personnel).
NIS2	Obligatoire pour les entités concernées	Entités essentielles ou importantes des secteurs critiques (énergie, transport, banque, santé, eau, infra numérique, administration, alimentaire, fabrication, recherche, fournisseurs numériques). Critère de taille indicatif : plus de 50 salariés ou plus de 10 M€ de chiffre d'affaires.	PME hors secteurs listés.
ISO 27001	Volontaire	Organisations cherchant à structurer leur SMSI ou répondant à des exigences B2B.	Aucune contrainte légale.
ISO 22301	Volontaire	Organisations dont la résilience opérationnelle est un enjeu commercial.	Aucune contrainte légale.
CRA	Obligatoire à partir du 11 décembre 2027	Fabricants, importateurs et distributeurs de produits comportant des éléments numériques (logiciels, IoT, firmware) mis sur le marché de l'UE.	Organisations qui n'éditent ni ne fabriquent de produits numériques.
DORA	Obligatoire depuis le 17 janvier 2025	Entités financières régulées (banques, assurances, gestionnaires d'actifs, plateformes, prestataires paiement, prestataires crypto-actifs, agences de notation) et leurs prestataires TIC critiques (CTPP).	Organisations hors secteur financier régulé.
HDS	Obligatoire pour les hébergeurs	Hébergeurs de données de santé à caractère personnel pour le compte de tiers (datacenters, cloud providers, infogérants, éditeurs SaaS santé, services de sauvegarde).	Établissements de santé qui sont clients d'un hébergeur certifié HDS (sauf auto-hébergement).
ANSSI 42	Volontaire (recommandé)	Toutes les organisations françaises souhaitant un socle d'hygiène pragmatique.	Aucune contrainte légale.

Lors de la souscription, ROOMCA propose un questionnaire d'éligibilité pour vous orienter vers les référentiels qui vous concernent réellement. Le devis est établi sur la base des seuls référentiels activés.

4. Ce que ROOMCA fait

Pour chaque référentiel activé, le module Conformité réalise :

évaluation de la gouvernance (politiques, comités, responsabilités, formation des dirigeants) ;
évaluation des processus (gestion des risques, des incidents, des accès, JML, change management) ;
évaluation des mesures organisationnelles (registres, contrats, procédures, formations, sensibilisation) ;
évaluation de l'existence et de la formalisation des mesures techniques (politique MFA, chiffrement, sauvegarde, patching) ;
évaluation de la conformité documentaire (DPA, AIPD, BIA, SoA, registre des traitements, registre des incidents) ;
mesure de la maturité par contrôle sur une échelle 0-5 inspirée du modèle CMMI ;
vue de couverture cross-référentielle via une matrice de 120 contrôles unifiés.

Livrables :

un score par référentiel activé ;
un rapport PDF par référentiel : écarts, recommandations, maturité réelle versus maturité cible ;
un plan d'action priorisé sur l'échelle commune (1=info, 2=mineur, 3=modéré, 4=majeur, 5=critique) ;
une vue cross-référentielle filtrée sur les référentiels activés.

5. Ce que ROOMCA ne fait pas

Le module Conformité n'inclut pas les prestations suivantes, qui relèvent d'acteurs spécialisés distincts :

Audit technique : pas de pentest applicatif, web, infrastructure, mobile, pas de scan de vulnérabilités, pas d'analyse de code (SAST/DAST), pas de red team, pas de threat hunting, pas de forensic, pas d'audit de configuration cloud (AD, Azure, AWS), pas de TLPT au sens de l'article 26 DORA.
Certification : ROOMCA ne certifie pas. La certification ISO 27001, ISO 22301, HDS, SecNumCloud ou PCI-DSS exige un organisme accrédité (COFRAC, UKAS, BSI). Notre rapport sert à se préparer à l'audit de certification, sans s'y substituer.
Contrôles réglementaires officiels : le questionnaire ROOMCA ne remplace pas un contrôle CNIL, un contrôle ANSSI, une inspection ACPR/AMF/BCE, ni une évaluation de conformité formelle au titre de l'article 28 CRA (marquage CE).
Aspects non-cyber : DORA inclut des aspects financiers (organisation, capital, risque opérationnel non-IT) hors périmètre. Le RGPD inclut des aspects juridiques approfondis (contentieux, médiation CNIL) hors périmètre. NIS2 inclut des obligations sectorielles spécifiques couvertes au socle uniquement.
Mise en œuvre opérationnelle : ROOMCA audite, identifie et recommande, mais n'implémente pas les mesures correctives (pas de déploiement de MFA, pas de rédaction de PSSI sur mesure). Le Client réalise ces actions en interne ou avec un consultant tiers.
Audit en continu / monitoring temps réel : l'audit est un état des lieux à un instant T. Réitération recommandée au moins annuellement. Pas de SOC, pas de SIEM, pas d'alerting temps réel.
Avis juridique opposable : ROOMCA n'est ni cabinet d'avocats ni DPO externe. Les rapports sont des analyses techniques et organisationnelles.

6. Caractère auto-déclaratif et responsabilité du Client

Le module repose sur un questionnaire auto-déclaratif. Les réponses sont saisies par le Client (ou ses collaborateurs habilités) sous sa seule responsabilité.

Le Client garantit la sincérité, l'exactitude et l'exhaustivité des informations transmises. ROOMCA ne procède à aucune vérification indépendante des déclarations, sauf stipulation contractuelle expresse et distincte (audit assisté ou revue documentaire payante).

7. Valeur du rapport

Le rapport est un livrable d'aide à la décision et de préparation à la conformité. Il ne constitue pas :

une attestation de conformité opposable à un tiers ;
un certificat délivré par un organisme accrédité ;
un avis juridique sur l'application d'une norme ou d'un règlement ;
une garantie d'exemption de sanction administrative ou pénale ;
une dispense de tout autre contrôle, audit ou certification exigé par la loi, le règlement, un client ou un assureur.

8. Tarification et activation

Le module est commercialisé sur devis personnalisé établi en fonction des référentiels activés, du périmètre du Client et de ses spécificités sectorielles. Aucune grille tarifaire publique n'est diffusée.

Pour obtenir un devis, adressez votre demande via la page /contact ou par courriel à contact@roomca.fr. Réponse sous deux jours ouvrés.

L'activation des référentiels souscrits intervient après acceptation du devis et encaissement du paiement, dans les conditions précisées au contrat.

9. Mises à jour réglementaires

Les référentiels couverts évoluent avec la réglementation. ROOMCA s'engage à maintenir les questionnaires à jour des évolutions majeures (publication d'un nouveau texte européen, transposition nationale, mise à jour ANSSI ou ANS) dans un délai raisonnable. La veille réglementaire reste néanmoins de la responsabilité du Client.

10. Limitation de responsabilité spécifique au module

ROOMCA met en œuvre les diligences professionnelles raisonnables dans la conception et la maintenance du module. La responsabilité de ROOMCA est expressément limitée :

aux dommages directs et prévisibles résultant d'une faute prouvée de ROOMCA ;
à un montant maximal correspondant aux sommes effectivement versées par le Client au titre du module Conformité dans les douze mois précédant le fait générateur ;
à l'exclusion expresse de tous dommages indirects, immatériels, perte de chance, perte de chiffre d'affaires, atteinte à l'image, sanction administrative ou pénale prononcée à l'encontre du Client.

11. Acceptation et droit applicable

L'utilisation du module Conformité vaut acceptation sans réserve des présentes dispositions, qui complètent les CGU générales de ROOMCA. Les présentes dispositions sont régies par le droit français. En cas de litige, et après échec de toute tentative de règlement amiable, les tribunaux de Lyon seront seuls compétents.

Démo personnalisée

Voir le module conformité en démo ?

On vous montre comment ROOMCA documente une exigence RGPD ou NIS2 réelle, de la question à la preuve. 20 minutes.

Échange par email·

Sans pitch industrialisé·

Réponse sous 48 h