Pour la réalisation du contrôle, le fournisseur de service numérique conclut une convention avec l'Agence nationale de la sécurité des systèmes d'information ou le prestataire de service chargé d'effectuer le contrôle. Cette convention précise notamment :
1° Les objectifs et le périmètre du contrôle ;
2° Les modalités du déroulement du contrôle et le délai dans lequel il est réalisé ;
3° Les conditions dans lesquelles l'agence ou le prestataire accède aux réseaux et systèmes d'information et effectue les analyses et les relevés d'informations techniques ;
4° Les informations et éléments, notamment la documentation technique des matériels et des logiciels, que le fournisseur de service numérique communique à l'agence ou au prestataire pour la réalisation du contrôle ;
5° Les conditions de protection de la confidentialité des informations traitées dans le cadre du contrôle.
La convention est conclue dans des délais compatibles avec le délai fixé par le Premier ministre pour la réalisation du contrôle.
Lorsque le contrôle est effectué par un prestataire, le fournisseur de service numérique adresse sans délai une copie de la convention signée à l'agence.