05 57 92 90 70

7 critères pour choisir un prestataire de relation client conforme NIS2 en 2026 

  • Mis à jour le : 17 février 2026
Retour aux actualités

📌 Dans cet article, vous découvrirez : 

⏱️ Temps de lecture : 8 minutes 

Vous êtes pressé ? Voici l’essentiel en 80 secondes : 

Nous y sommes, les possibles sanctions liées à la directive NIS2 sont entrées en vigueur le 1er janvier 2026.  
Concrètement, cela signifie que l’ANSSI (qui est l’autorité compétente principale en France) va renforcer dès cette année ses contrôles. Pour cause, elle peut désormais exiger des audits de sécurité, imposer des injonctions, et surtout imposer des amendes administratives.  

En pratique, si vous êtes concerné par la NIS2, vous avez probablement déjà évalué votre exposition et engagé des démarches de mise en conformité. Mais ce que vous ignorez peut-être, c’est que si vos prestataires de la relation client ne sont pas conformes, votre propre conformité est compromise. 
En effet, si votre prestataire BPO venait à subir une cyberattaque en raison de mesures de sécurité insuffisantes, NIS2 pourrait vous rendre responsable (pour manquement à votre obligation de supervision).  

Pour que cette situation ne se présente jamais à votre entreprise, nous vous donnons ici les 7 critères essentiels pour évaluer et choisir un prestataire de relation client conforme à NIS2.   

Partie I : Comprendre le contexte NIS2 dans le choix de votre prestataire BPO

Avant de se concentrer sur les critères de choix de votre prestataire de centre d’appels, voici quelques rappels sur le contexte de la directive NIS2. 

Qu’est-ce que la directive NIS2 ? 

La directive NIS2 (adoptée en décembre 2022 par l’UE), remplace la directive initiale NIS1 qui avait été adoptée en 2016. 

Concrètement, la NIS2 impose des exigences plus strictes et vise à harmoniser les règles entre les états membres de l’UE, et réduire le risque systémique lié aux cyberattaques.  

Entre autres, elle impose une protection technique renforcée et une surveillance stricte de la chaîne de sous-traitance. 

Qui est concerné par NIS2 ? 

Vous êtes concerné.e si vous répondez à au moins l’un des trois points suivants :  

  1. Vous avez + de 50 salariés ou un CA  / bilan annuel > 10M€, et opérez dans un secteur dit « de haute criticité », à savoir :  
  • Administration publique,  
  • Infrastructure numérique,  
  • Transport,  
  • Bancaire,  
  • Marchés financiers,  
  • Energie,  
  • Santé,  
  • Eaux 
  • Espace.  
  1. Vous avez + de 50 salariés ou un CA  / bilan annuel > 10M€, et opérez dans un secteur dit « critique », à savoir :  
  • Services postaux expédition,  
  • Gestion de déchets,  
  • Agroalimentaire,  
  • Chimie (fabrication, production, ou distribution),  
  • Industrie manufacturière,  
  • Fournisseur numérique,  
  • Recherche.  
  1. Quel que soit la taille de votre entreprise, vous fournissez un secteur cité dans les points 1 et 2 (on parle d’exigence Ecosystémique).  

Pourquoi vos prestataires vous engagent via la responsabilité en cascade ?

Vous trouverez dans l’article 21 de la directive NIS2  la phrase suivante : « la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs directs ou prestataires de services ».  
En clair, si votre prestataire se montre défaillant, c’est votre propre conformité qui peut être compromise.  
 
Et ce qui a mené à cette nouvelle règle qui n’existait pas dans la précédente version de la directive de 2016 (NIS1), ce sont des exemples tristement célèbres.  

Exemples


Pour ne citer qu’eux, il y a d’abord l’exemple de SolarWinds qui, en 2020, s’est fait compromettre sa plateforme de gestion informatique. A cette époque déjà, SolarWinds était utilisé par des milliers d’entreprises et d’agences gouvernementales. Ainsi, les malfaiteurs ont réussi à accéder aux systèmes de 18 000 clients (dont des ministères et des entreprises du Fortune 500. 
 
Il y aurait beaucoup d’autres exemples à citer, voici quelques liens si vous voulez aller plus loin : Kaseya Codecov, Colonial PipelineMimecast… 
 
Et pour finir l’illustration, voici les risques financiers encourus par votre entreprise depuis le 1er janvier 2026 si ce cas venait à se présenter :  
 
– Jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial annuel pour les entités essentielles,

– Jusqu’à 7 millions d’euros ou 1,4% du chiffre d’affaires mondial annuel pour les entités importantes.

Il n’existe pas de « certification NIS2 » 

Avant de vous donner nos 7 conseils pour choisir un prestataire conforme, il nous semblait important de préciser que le NIS2 est une directive, pas une norme certifiable (contrairement à l’ISO 27001 par exemple).  

Alors, attention aux faux labels ! Vous ne devriez pas pouvoir trouver de label officiel de type « Certifié NIS2 » délivré par un organisme sur le site web de votre prestataire par exemple.  

Cela dit, il existe tout de même des options pour les sociétés d’externalisation de la relation client (BPO) de vous démontrer leur conformité.  

  • D’abord, la certification ISO27001 est une très bonne indication puisque cette certification couvre +/- 80% des exigences NIS2. 
  • Le BPO peut vous mettre à dispositions des audits de l’ANSSI ,
  • Certains ont également mis en place des systèmes d’auto-évaluation. Ils peuvent servir de bons éléments de démonstration, à conditions qu’ils soient documentés avec des preuves.  

PARTIE 2 : LES 7 CRITÈRES POUR CHOISIR UN PRESTATAIRE CONFORME NIS2  

Vous connaissez maintenant les enjeux et les risques. Voici alors les 7 critères essentiels pour choisir votre prestataire BPO.

Critère #1 : Certification ISO 27001 active et à jour

La certification ISO 27001 est un très bon indicateur puisqu’un centre d’appel qui en dispose couvre pour sûr à minima 80% des exigences NIS2. 

Pour en savoir plus sur la certification ISO 27001, nous y avons consacré un article complet : ISO 27001 centre d’appels : guide complet pour sécuriser votre externalisation – CitizenCall

Ce qu’il faut vérifier 

  • Demandez à voir le certificat ISO 27001 pour vous assurer de sa validité (à savoir qu’il doit être renouvelé tous les ans),
  • Vérifiez que la certification a bien été obtenue dans le cadre des activités de la relation client/BPO,
  • Vous pouvez également demander à voir les derniers audits de surveillance (qui doivent être effectués tous les ans),
  • Enfin, vérifiez l’autorité et l’accréditation de l’organisme certificateur. 

Critère #2 : Documentation de conformité NIS2 vérifiable

Bien qu’il n’existe pas de certification attestant d’une conformité NIS2, le prestataire peut tout à fait prouver son engagement et sa rigueur via sa documentation interne et ses process.

Ce qu’il faut vérifier

  • Le prestataire a-t-il réalisé des auto-évaluations NIS2 documentées 
  • Si le prestataire a déjà réalisé ce type de test, demandez à voir le plan d’action de mise en conformité avec l’échéancier qui en a découlé.  
  • Que des tests aient été réalisés, ou non, vous pouvez demander les preuves de mises en œuvre des 10 mesures minimales obligatoires officielles NIS2, à savoir,   
  1. Analyse des risques et politique de sécurité, 
  1. Gestion des incidents (prévention, détection, réponse), 
  1. Continuité d’activité et gestion de crise (PCA/PRA),  
  1. Sécurité de la chaîne d’approvisionnement,  
  1. Sécurisation du développement et maintenance, 
  1. Politique et procédures d’évaluation de l’efficacité des mesures, 
  1. Pratiques de base d’hygiène cyber et formation,  
  1. Cryptographie et chiffrement, 
  1. Sécurité des ressources humaines, 
  2. Contrôle d’accès et gestion des identités (MFA obligatoire). 

Critère #3 : Politique de gestion de la chaîne d’approvisionnement

La difficulté à choisir un bon prestataire BPO à qui confier sa relation client réside dans le problème de l’effet domino du NIS2. Concrètement, si votre prestataire a lui-même des sous-traitants non conformes, vous êtes exposé. 

En clair, vous devez vous assurer de la conformité de toute la chaîne… Ou a minima vous assurer que votre prestataire s’est lui-même assuré de bien choisir ses propres fournisseurs.  

Ce qu’il faut vérifier 

  • Vous pouvez demander la liste des sous-traitants critiques du prestataire (hébergeurs, outils SaaS, maintenance IT…) 
  • Assurez-vous du fait qu’il existe chez ce prestataire BPO un process d’évaluation des fournisseurs (critères de sécurité, audits…) 

Dans le cas ou vous doutez sur la qualité du process de sélection des fournisseurs, prévoyez et signez ensemble un plan de contingence en cas de défaillance d’un de leur sous-traitant 

Critère #4 : Processus de notification d’incidents sous 24h/72h

L’un des piliers du NIS2 est le délai de notification strict à respecter en cas d’incident de sécurité. Trois créneaux sont à retenir : 

  • Vous avez 24 h pour transmettre l’alerte initiale aux autorités,  
  • 72 h pour réaliser un premier rapport intermédiaire,  
  • Et enfin, vous devez rendre un rapport final dans le mois suivant la détection de l’incident.  

Mais la subtilité ici, c’est que si votre prestataire de relation client subit une cyberattaque c’est vous qui devez notifier l’ANSSI dans ces délais… Même si si l’incident s’est produit sur ses systèmes ! 

Concrètement, cela signifie que vous dépendez entièrement de la réactivité (et de la transparence) de votre prestataire. Donc s’il met trois jours à vous informer d’une compromission, vous dépassez le délai de 24 heures et l’ANSSI pourra vous sanctionner.

Ce qu’il faut vérifier 

  • D’abord, assurez vous d’inclure dans le contrat qui vous lie un engagement contractuel sur les délais, ainsi qu’un point de contact d’urgence 27/7. 
  • Procédez à des tests réguliers de la procédure, et documentez tout.

Critère #5 : Clauses contractuelles adaptées à NIS2

Bien sûr, quel que soit le contexte, le contrat qui vous lie à votre prestataire est votre première et principale ligne de défense juridique. 

Sachez que sans clauses contractuelles adaptées à NIS2, vous n’avez aucun levier pour exiger la conformité de votre prestataire, ni aucun recours en cas de manquement. Et pourtant, un contrat standard de prestation de services ne couvre pas les obligations spécifiques imposées par NIS2. 

Ce qu’il faut vérifier

  • Vérifiez d’abord dans le contrat qui vous lie qu’il existe une clause de notification d’incidents
  • Vous pouvez également demander à ajouter un droit d’audit  

Critère #6 : Formation et sensibilisation continue des équipes

Saviez-vous que 90% des cyberattaques réussies exploitent l’erreur humaine ? C’est bien pour cette raison que le NIS2 impose explicitement la formation régulière des collaborateurs.  

Et puisque les agents du prestataire manipulent vos données, ils doivent eux aussi être formés !

Ce qu’il faut vérifier

  • Vérifiez d’abord que votre prestataire de la relation a mis en place un programme de formation cyber obligatoire pour tous les agents (minimum annuelle, idéalement trimestrielle) 
  • Pour évaluer les connaissances des équipes, les BPO les plus proactifs mettent en place de tests réguliers (simulations de phishing, quiz…). Si c’est bien le cas, ils pourront vous communiquer un taux de participation et de réussite.

Critère #7 : Capacité d’audit et de reporting

Enfin, le dernier point (et peut-être le plus important), le prestataire à qui vous confiez votre relation client doit coopérer. Concrètement, il doit vous fournir le plus rapidement possible les différents éléments de preuves dont vous avez besoin pour superviser et contrôler la sécurité.  

 
Si c’est un des points les plus importants, c’est parce que vous devez pouvoir prouver à l’ANSSI que vous supervisez bien vos prestataires. Dans le cas d’un contrôle et en l’absence de preuve, vous pourriez être sanctionné par les autorités.  

Ce qu’il faut vérifier

  • Vérifiez d’abord qu’il existe une journalisation des accès (un inventaire de qui accède à quoi, quand, depuis où). Ainsi ce journal pourra vous être partagé régulièrement.  
  • Dans le même registre, vous pouvez demander à recevoir de façon régulière un tableau de bord de sécurité. Il devra être possible d’y trouver l’ensemble des incidents détectés, les temps de réponse, et les vulnérabilités corrigées.  
  • Enfin, sur l’ensemble de ces registres, vérifiez que votre BPO a un bon réflexe d’anonymisation des données sensibles.  

PARTIE 3 : Passer à l’action

Vous connaissez maintenant les 7 critères essentiels au choix d’un prestataire centre d’appels français conforme NIS2. Maintenant, voyons concrètement comment faire pour passer de la théorie à la pratique, vérifier si votre prestataire actuel répond aux exigences, et que faire si ce n’est pas le cas.   

Checklist de vérification prestataire BPO pour le NIS2 

Tableau récapitulatif des 7 critères avec cases à cocher : 

Critères✅ Conforme ⚠️ À vérifier ❌ Non conforme 
ISO 27001 active 
Documentation NIS2 
Gestion supply chain 
Notification 24h/72h 
Clauses contractuelles 
Formation équipes 
Audit & reporting 

Que faire si votre prestataire relation client actuel n’est pas conforme NIS2 ? 

3 scénarios s’offrent à vous quand vous détectez une inconformité NIS2.

🟢 Scénario 1 : le prestataire est en cours de mise en conformité. 

Dans ce cas, bien qu’il soit vraiment en retard sur les réglementations en vigueur, vous pouvez lui accorder un délai. On vous recommande cependant d’être proactif et d’exiger des preuves concrètes.  

Pour rester en règle, montrez vous proactif. Exigez une mise en conformité avec des preuves tangibles. Concrètement, demandez au prestataire un plan d’action avec échéancier précis.  
Une fois ce plan d’action défini, choisi ensemble des créneaux mensuels pour le suivi de la mise en place.  

Enfin et surtout, pour tout ce temps de transition, prévoyez des clauses contractuelles spécifiques.  

🟠 Scénario 2 : le prestataire refuse de communiquer tout ou partie des éléments de mise en conformité NIS2 

Dans ce cas précis, voyez cela comme un signal d’alerte majeur. Le refus de communiquer révèle un manque de sérieux.

Si tel est le cas, alors évaluez les risques pour votre propre conformité et anticipez un changement de prestataire si nécessaire. 

🔴 Scénario 3 : Le prestataire n’a pas connaissance du NIS2 

Dans ce cas, même avec la meilleure de volonté, votre prestataire prendra beaucoup trop de temps à se mettre en conformité. Le danger de sanction est immédiat et on vous recommande de changer de prestataire rapidement.  

Comment Citizen Call se positionne sur NIS2 ?

Chez Citizen Call, nous avons deux priorités. D’abord, la qualité de nos campagnes, ensuite, la sécurité informatique.  

Et puisque la conformité réglementaire est l’un des piliers de notre offre de service, Citizen Call a obtenu la certification ISO 27001 en 2025 et se soumet régulièrement à des audits pour maintenir cette certification. Concrètement, l’ISO 27001 garantit que nous appliquons les meilleures pratiques internationales en matière de sécurité de l’information, les exigences NIS2. 

Nous simplifions votre conformité, vous vous concentrez sur votre métier 

Votre métier, ce n’est pas de passer vos journées à vérifier que vos prestataires sont conformes. C’est de développer votre activité, de servir vos clients, de piloter votre stratégie. 

En choisissant Citizen Call, vous déléguez votre relation client à un partenaire qui : 

  • Comprend vos enjeux de conformité NIS2, 
  • Assume sa part de responsabilité dans la chaîne d’approvisionnement, 
  • Vous fournissez tout ce dont vous avez besoin pour prouver que vous supervisez votre prestataire. 

Vous n’avez pas à choisir entre performance et conformité puisqu’avec Citizen Call, vous avez les deux.

 Évaluez si Citizen Call est le bon partenaire pour vous Vous cherchez un prestataire de relation client conforme NIS2 ?
  • Linkedin

Sujets en lien avec cet article

Notre objectif est de vous tenir informé(e) sur les dernières tendances et les développements dans notre secteur d’activité, et de vous fournir des informations utiles pour vous aider à prendre des décisions éclairées.

  • Call center
Facturation électronique 2026 : impacts sur la relation client B2B 

📌 Dans cet article, vous découvrirez :  ⏱️ Temps de lecture : 12 minutes  Vous êtes pressé ? Voici l’essentiel en 110 secondes :  Chaque année, ce sont

Voir plus
  • Call center
ISO 27001 centre d’appels : guide complet pour sécuriser votre externalisation

📌 Dans cet article, vous découvrirez :  ⏱️ Temps de lecture : 8 minutes  Externalisation de la relation client : les enjeux de responsabilité Il y

Voir plus
  • callbotRelation Clients BtoB
7 tendances du service client en 2026

Développement de l’IA, changement des modes de consommation, nouvelles réglementations sur la protection des données, … la relation client est en pleine mutation. 2026 sera

Voir plus
  • callbotRelation Clients BtoB
Réception téléphonique externalisée (augmentée) pour bureaux d’études (BET)

Ce sujet se lit… ou s’écoute. Ecoutez notre podcast 🎙️👇 Ne perdez plus un appel, un brief ou une opportunité. Citizen Call aide les bureaux

Voir plus
Auto-évaluation – qualité de l’accueil téléphonique des bureaux d’études techniques
Obtenez votre plan de réception BET en 3 semaines 100% de décroché téléphonique en 3 sonneries 24h/24. → Décroché rapide, qualification utile, moins de réitérations.
Voir plus
  • callbotRelation Clients BtoB
Agents IA dans les services clients : baromètre 2025 des entreprises françaises

Nous vous proposons également une version audio : écoutez notre podcast basé sur ce contenu. 🎙️👇 Soyons directs, il y a un grand écart entre

Voir plus
  • callbotRelation Clients BtoB
Accueil téléphonique externalisé : à quel niveau un bot devient-il rentable ?

Vous pouvez lire ce sujet… ou l’écouter. Notre podcast vous attend. ici 🎙️ L’agent conversationnel et l’accueil téléphonique « augmenté » est plus accessible que

Voir plus
  • Expérience clientService clients augmenté
Agents IA et relation client en 2025 : les 10 chiffres à retenir

Dès 2023 les agents IA dans la relation client se sont imposés peu à peu dans nos habitudes personnelles et professionnelles – on parlait d’expérimentation.

Voir plus
  • Relation Clients BtoBService clients augmenté
Les agents IA en relation client sont-ils faits pour vous ?

Ce sujet se lit… ou s’écoute. Ecoutez notre podcast 🎙️👇 L’intelligence artificielle (IA) redessine la relation client. Fini le temps des simples SVI (Serveurs Vocaux

Voir plus
Iframe: Qu’est-ce que c’est ?

Iframe est un raccourci utilisé pour faire référence à « inline Frame » et qui signifie « cadre en ligne ». L’Iframe est une balise

Voir plus

Trouvez la solution qui vous convient pour nous contacter

Nous sommes là pour vous aider à offrir un service client exceptionnel et à renforcer votre relation avec vos clients.

Être rappelé(e)
Prendre rendez-vous
Écrire un message
Call Now Button