Le Premier ministre notifie aux fournisseurs de service numérique sa décision d'imposer un contrôle prévu à l'article 14 de la loi du 26 février 2018 précitée. Il précise les objectifs et le périmètre du contrôle et fixe le délai dans lequel le contrôle est réalisé. Il indique, en fonction de la nature des opérations à mener, si ce contrôle est effectué par l'Agence nationale de la sécurité des systèmes d'information ou par un prestataire de service qualifié. Dans ce dernier cas, le fournisseur de service numérique choisit le prestataire sur la liste qui lui est communiquée et en informe sans délai l'agence.

Pour la réalisation du contrôle, le fournisseur de service numérique conclut une convention avec l'Agence nationale de la sécurité des systèmes d'information ou le prestataire de service chargé d'effectuer le contrôle. Cette convention précise notamment :
1° Les objectifs et le périmètre du contrôle ;
2° Les modalités du déroulement du contrôle et le délai dans lequel il est réalisé ;
3° Les conditions dans lesquelles l'agence ou le prestataire accède aux réseaux et systèmes d'information et effectue les analyses et les relevés d'informations techniques ;
4° Les informations et éléments, notamment la documentation technique des matériels et des logiciels, que le fournisseur de service numérique communique à l'agence ou au prestataire pour la réalisation du contrôle ;
5° Les conditions de protection de la confidentialité des informations traitées dans le cadre du contrôle.
La convention est conclue dans des délais compatibles avec le délai fixé par le Premier ministre pour la réalisation du contrôle.
Lorsque le contrôle est effectué par un prestataire, le fournisseur de service numérique adresse sans délai une copie de la convention signée à l'agence.

A l'issue du contrôle, l'Agence nationale de la sécurité des systèmes d'information ou le prestataire ayant réalisé le contrôle rédige un rapport exposant ses constatations, au regard de l'objectif du contrôle, sur le respect des obligations prévues aux articles 12 et 13 de la loi du 26 février 2018 précitée et sur le niveau de sécurité des réseaux et systèmes d'information contrôlés. Les manquements à ces obligations et les vulnérabilités des réseaux et systèmes d'information constatés lors du contrôle sont indiqués dans le rapport, qui formule le cas échéant des recommandations pour y remédier.
L'agence ou le prestataire ayant réalisé le contrôle met le fournisseur de service numérique en mesure de faire valoir ses observations sur le rapport mentionné au premier alinéa.
Lorsque le contrôle est effectué par un prestataire, celui-ci communique à l'agence, dans le délai fixé pour la réalisation du contrôle, le rapport mentionné au premier alinéa et, le cas échéant, les observations du fournisseur de service numérique. L'agence peut auditionner, dans un délai de deux mois à compter de la communication du rapport, le prestataire ayant effectué le contrôle, en présence du fournisseur de service numérique, si celui-ci a formulé des observations ou si elle l'y convie, et d'un représentant des ministres concernés si ceux-ci en ont exprimé le souhait, pour examiner les constatations et les recommandations figurant dans le rapport.
L'Agence nationale de la sécurité des systèmes d'information communique aux ministres concernés les conclusions du contrôle.