Comment choisir.

Réponses vagues : « on prend la sécurité au sérieux », « conformité Loi 25 incluse ». Aucun nom de certification, aucun document, aucune date de renouvellement.

Des certifications nommées (CCIP, ISO/IEC 27032 Foundation, ISO/IEC 27001, CISSP, SOC 2…), avec la personne qui les détient identifiée par son nom, et la possibilité de vérifier auprès de l'organisme certificateur.

Refus systématique : « ça dépend de votre besoin, prenons un appel ». Aucun ordre de grandeur, aucune fourchette, aucune offre fixe sur le site.

Une fourchette publique (évaluation gratuite, revue à tarif unique, mandats mensuels par paliers, projets en fourchettes). Le prospect peut se faire une idée avant d'investir 30 minutes en visio.

« Bannière de consentement + politique de confidentialité = Loi 25 conforme. » C'est faux. La Loi 25 inclut aussi le registre d'incidents, la catégorisation des données, les Évaluations de Facteurs Relatifs à la vie Privée (EFVP), la désignation d'un responsable de la protection des renseignements personnels, et les obligations de communication transfrontalière.

Une liste explicite : ce qui est couvert (consentement, transparence, contrats sous-traitants, hashage des IP, segmentation des secrets, registre d'incidents…) et ce qui ne l'est pas (et donc reste de votre responsabilité ou demande un mandat séparé).

Plateforme propriétaire, accès à votre propre CRM via un compte intermédiaire, scripts qui ne sortent pas de l'environnement du fournisseur, frais de sortie. C'est du lock-in déguisé.

Le code, les scripts, les configurations, les comptes API, les credentials — tout reste à votre nom. La sortie est documentée au même niveau de soin que l'entrée. Si vous voulez reprendre en interne, c'est prévu.

Le partenaire automatise mais n'a pas accès à l'infrastructure. Quand quelque chose brise, c'est aller-retour par courriel pendant des jours, ou un ticket support auprès d'un fournisseur tiers.

L'option d'héberger directement la couche d'automatisation chez un fournisseur de serveur, avec accès aux logs, métriques et déploiements en temps réel. Un problème se diagnostique en minutes, pas en jours.

Un système calibré sur la moyenne annuelle. Une seule version du tableau de bord, un seul format de relance, des règles de routage figées 12 mois sur 12.

Une compréhension explicite que les déménageurs ne vivent pas la même pression que les comptables, que les couvreurs réagissent aux orages, que les déneigeurs signent leurs contrats avant la première neige. Le système s'ajuste à la courbe de demande.

« Il faut absolument se parler au téléphone pour avancer. » Les appels servent souvent à éviter de mettre des engagements précis à l'écrit.

Communication par écrit en premier — courriel, formulaire structuré, documents partagés. Les appels servent quand la matière le justifie, pas comme étape obligée. Tout reste traçable.

« On travaille seulement sur HubSpot » ou « il faut migrer vers Microsoft 365 ». Le partenaire vend son outil préféré, pas votre solution.

Le partenaire travaille autour de votre stack actuel — HubSpot, Salesforce, Pipedrive, Zoho, Notion, Airtable, Excel, Google Workspace, Microsoft 365. La migration est une option si elle est justifiée, jamais un prérequis.