Questionnaire RGPD fournisseur : comment répondre sans risque

Dans un appel d'offres ou une due diligence, l'acheteur ne se contente plus d'évaluer votre prix et votre solution : il vérifie aussi comment vous traitez les données personnelles. Le questionnaire RGPD fournisseur est l'outil de cette vérification. C'est un document par lequel l'acheteur évalue la conformité RGPD du candidat avant de contractualiser — son rôle sur les données, ses garanties, ses preuves. Y répondre approximativement, c'est risquer de bloquer la signature ou d'être écarté ; y répondre avec exactitude et preuves à l'appui, c'est lever un frein et accélérer la décision. Voici, thème par thème, ce que ces questionnaires attendent et comment les traiter sans risque.

Pourquoi le RGPD s'invite dans les appels d'offres

Le Règlement général sur la protection des données rend chaque organisation responsable des données personnelles qu'elle manipule — et responsable, aussi, du choix de ses prestataires. Un acheteur qui confie des données à un fournisseur reste comptable de leur protection : si son sous-traitant est défaillant, c'est sa propre conformité qui est en jeu. D'où une exigence devenue systématique dans les achats : s'assurer en amont que le fournisseur est à la hauteur.

Cette exigence prend plusieurs formes. Dans un RFP privé ou un appel d'offres public, une rubrique « protection des données » figure de plus en plus souvent dans le dossier. Dans une démarche de due diligence, un questionnaire dédié est envoyé avant la contractualisation. Et chez les grands comptes, le sujet est traité en parallèle du questionnaire de sécurité, avec lequel il partage de nombreux points de contact.

Le RGPD n'est donc plus une affaire de juristes en coulisses : c'est un critère d'évaluation à part entière, qui peut conditionner l'accès au marché. Le traiter comme une formalité de dernière minute est une erreur — au même titre que négliger une pièce du dossier dans un marché public.

Responsable de traitement ou sous-traitant ?

C'est la première question d'un questionnaire RGPD, et la plus structurante : quel rôle jouez-vous sur les données concernées ? De cette qualification découle l'essentiel de vos obligations.

En principe, le responsable de traitement est celui qui décide des finalités et des moyens du traitement — autrement dit, le pourquoi et le comment. Le sous-traitant, lui, traite les données pour le compte du responsable et selon ses instructions. L'acheteur qui vous confie un fichier clients pour une prestation reste le responsable ; vous êtes son sous-traitant.

Mais la réalité est rarement binaire. Un même prestataire est souvent responsable de traitement pour ses propres données (sa paie, sa prospection commerciale, ses comptes utilisateurs) et sous-traitant pour les données de son client. Votre réponse doit donc préciser le rôle traitement par traitement, et non globalement. Une réponse du type « nous sommes sous-traitant » sans nuance est presque toujours imprécise.

Les thèmes d'un questionnaire RGPD

Au-delà du rôle, les questionnaires RGPD couvrent un socle de thèmes récurrents. Les connaître à l'avance permet de préparer ses réponses une fois pour toutes, plutôt que de les improviser à chaque dossier.

Le registre des traitements est un point de passage central. C'est le document qui recense vos traitements, leurs finalités, les catégories de données et de personnes concernées, les destinataires et les durées de conservation. L'acheteur ne demande pas toujours le registre complet, mais il vérifie que vous le tenez — son absence est un signal d'alarme.

La base légale est un autre classique. Pour chaque traitement, il faut pouvoir indiquer le fondement qui l'autorise : l'exécution d'un contrat, le consentement de la personne, le respect d'une obligation légale, l'intérêt légitime du responsable, entre autres. En principe, un traitement sans base légale identifiable est un traitement non conforme — d'où l'attention de l'acheteur sur ce point.

La gestion des droits des personnes et la procédure en cas de violation de données complètent ce socle. L'acheteur veut savoir que vous savez réagir : relayer une demande d'exercice de droits dans des délais raisonnables, et notifier sans délai injustifié une violation au responsable de traitement lorsqu'elle survient. Là encore, l'existence d'une procédure écrite compte plus que de longues déclarations d'intention.

Transferts hors UE et sous-traitants ultérieurs

Deux thèmes méritent un traitement à part, car ils sont à la fois techniques et fréquemment mal renseignés : les transferts hors UE et les sous-traitants ultérieurs. Les deux sont d'ailleurs liés.

Un sous-traitant ultérieur est un prestataire auquel vous faites appel pour réaliser tout ou partie de la prestation — hébergeur cloud, outil d'emailing, service de support, brique d'analyse. Le RGPD prévoit que ce recours soit encadré et, en règle générale, porté à la connaissance du responsable de traitement, qui doit pouvoir s'y opposer. Votre réponse doit donc inclure une liste à jour de vos sous-traitants ultérieurs, avec leur rôle et leur localisation. C'est l'une des pièces les plus regardées du dossier.

Cette liste révèle souvent la réalité des transferts hors UE. Beaucoup d'entreprises pensent ne pas transférer de données hors d'Europe, alors que leur hébergeur, leur outil de support ou leur solution d'analyse traitent des données dans des pays tiers. La bonne approche consiste à décrire factuellement : y a-t-il des transferts, vers quels pays, et au titre de quel encadrement ?

En principe, lorsque la destination bénéficie d'une décision d'adéquation, le transfert est facilité. À défaut, il repose en général sur des garanties appropriées — au premier rang desquelles les clauses contractuelles types — éventuellement complétées par des mesures supplémentaires selon le contexte. Le détail de ces mécanismes relève de l'analyse juridique : restez exact et général, et renvoyez à votre DPO pour la qualification précise de chaque transfert.

3 informationssuffisent à rendre un sous-traitant ultérieur exploitable dans votre réponse : son rôle, sa localisation et le mécanisme d'encadrement des données

Le DPA, pièce maîtresse

S'il ne fallait retenir qu'un document, ce serait celui-ci. Le DPA (Data Processing Agreement), ou accord de traitement, est le contrat — souvent une annexe au contrat principal — qui encadre la relation entre un responsable de traitement et son sous-traitant. C'est la pièce maîtresse de tout questionnaire RGPD lorsque vous intervenez comme sous-traitant.

Un DPA précise en principe :

• l'objet, la durée et la nature du traitement, ainsi que sa finalité ;
• les catégories de données traitées et de personnes concernées ;
• les obligations de sécurité du sous-traitant ;
• les conditions de recours aux sous-traitants ultérieurs ;
• l'assistance apportée au responsable (droits des personnes, violations, analyses d'impact) ;
• le sort des données en fin de contrat : restitution ou suppression.

Disposer d'un DPA type prêt à être présenté est un avantage décisif. Cela montre à l'acheteur que le sujet est maîtrisé, et cela accélère la contractualisation : plutôt que de partir d'une page blanche, les deux parties discutent sur une base existante. À l'inverse, l'absence de DPA oblige à tout construire en urgence, au pire moment — juste avant la signature.

Répondre avec des preuves

C'est le principe directeur de tout questionnaire RGPD, comme de tout questionnaire de sécurité : une affirmation sans preuve a peu de valeur. Bien répondre repose sur deux piliers indissociables — l'exactitude de ce que vous affirmez, et les preuves qui l'appuient.

Les preuves les plus fréquemment attendues sont :

• la politique de confidentialité publiée ;
• un extrait ou la structure du registre des traitements ;
• le DPA type ;
• la liste des sous-traitants ultérieurs et leur localisation ;
• la procédure de gestion des violations de données ;
• la désignation du DPO ou du point de contact, s'il existe.

Joindre ces pièces change la nature de la réponse : on passe d'une déclaration (« nous sommes conformes ») à un engagement vérifiable (« voici comment, et voici les documents »). C'est exactement la logique qui distingue une réponse gagnante d'une réponse creuse dans n'importe quel mémoire technique : la preuve l'emporte sur l'affirmation.

L'autre enjeu est la cohérence dans le temps. Les questions RGPD reviennent d'un dossier à l'autre, presque à l'identique. Réécrire les réponses à chaque fois fait diverger les versions, multiplie les approximations et fait perdre un temps considérable. Les équipes qui répondent souvent capitalisent leurs réponses validées dans une base de connaissances unique, où chaque réponse est sourcée et datée. Quand une politique évolue — un nouveau sous-traitant, un DPA mis à jour —, la réponse de référence est corrigée une fois, et tous les dossiers suivants en bénéficient.

C'est précisément le rôle d'un module dédié aux questionnaires et DDQ : traiter les grilles RGPD, sécurité ou RSE question par question, en s'appuyant sur des réponses sourcées issues de la base de connaissances, avec un taux de couverture en temps réel et un export Excel au format attendu par l'acheteur. L'objectif n'est pas de répondre à votre place sur le fond juridique, mais de garantir que chaque réponse validée est réutilisée, à jour et traçable.

Envie de voir TenderCrunch à l'œuvre sur l'un de vos dossiers ?Industrialiser mes réponses aux questionnaires→

Une dernière règle de prudence vaut pour l'ensemble de l'exercice. Un questionnaire RGPD n'est pas un avis juridique : vos réponses décrivent vos pratiques, elles n'établissent pas une conformité absolue. Restez dans le registre du « en principe » et du « en synthèse », évitez les formulations définitives, et faites relire les points sensibles par votre DPO ou votre juriste avant l'envoi. Mieux vaut une réponse exacte et nuancée qu'une affirmation trop large qui se retournerait contre vous.

En résumé

Un questionnaire RGPD fournisseur évalue, avant de contractualiser, la manière dont vous traitez les données personnelles. Il s'articule autour de thèmes stables : votre rôle (responsable de traitement ou sous-traitant), votre registre, votre base légale, vos sous-traitants ultérieurs, vos transferts hors UE, vos mesures de sécurité, votre DPO et la gestion des droits et des violations. La pièce maîtresse est le DPA, l'accord de traitement annexé au contrat. Et la clé d'une bonne réponse tient en deux mots : exactitude et preuves. Décrivez factuellement vos pratiques, joignez vos documents, capitalisez vos réponses pour ne jamais repartir de zéro — et faites valider les points juridiques par votre DPO. C'est cette rigueur documentée, plus que de longues déclarations, qui lève le frein RGPD et débloque la signature.

À lire ensuite : le questionnaire de sécurité fournisseur, mode d'emploi et comprendre la due diligence et les DDQ.