Évaluation des risques fournisseurs RGPD

Le cadre complet du questionnaire d'évaluation des risques fournisseurs RGPD pour les organisations multi-entités

Mis à jour le 2026-06-22
Points clés : Priverion est une plateforme GRC hébergée en Suisse qui automatise les évaluations des risques fournisseurs RGPD, la distribution des questionnaires, la notation des risques et la documentation d'audit à travers les groupes de sociétés.

La plupart des évaluations de fournisseurs sont incohérentes, incomplètes et impossibles à suivre d'une filiale à l'autre. Voici comment les équipes de protection des données des organisations comptant de 5 à plus de 50 entités construisent un processus d'évaluation des risques fournisseurs qui tient réellement face à un contrôle réglementaire.

Les articles 28 et 32 du RGPD imposent aux responsables du traitement d'évaluer et de documenter les pratiques de protection des données de chaque sous-traitant auquel ils recourent, et cette obligation s'étend à chaque entité de votre structure de groupe. La plupart des équipes commencent avec un tableur ou un document Word, mais cette approche montre vite ses limites lorsqu'il faut gérer des centaines de fournisseurs répartis sur plusieurs juridictions. Cette page vous explique précisément ce que devrait contenir un questionnaire robuste, les erreurs les plus courantes commises par les organisations et comment les principales équipes de protection des données automatisent l'ensemble du processus.

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Ce que votre questionnaire doit couvrir

Que doit contenir votre questionnaire d'évaluation des risques fournisseurs RGPD

Neuf catégories essentielles qui distinguent une évaluation de fournisseur défendable d'un simple exercice de case à cocher. Chacune correspond directement aux articles 28, 32 et 44 à 49 du RGPD.

Catégorie 1

Identité du fournisseur et aperçu du traitement

Établissez les fondamentaux : coordonnées de l'entreprise, rôle dans le traitement (sous-traitant, sous-traitant ultérieur ou responsable du traitement), catégories de données à caractère personnel traitées, personnes concernées et description claire de chaque activité de traitement. Sans cette base, chaque question ultérieure repose sur du sable.

Résultat : un inventaire complet du traitement par fournisseur

Correspond à l'article 28(3) du RGPD, contenu obligatoire du contrat de sous-traitance

Catégorie 2

Base légale et contrat de sous-traitance

Vérifiez qu'un contrat de sous-traitance répondant aux exigences de l'article 28 est signé et à jour. Confirmez la base légale du traitement, identifiez les éventuels arrangements de responsabilité conjointe et assurez-vous que le contrat de sous-traitance couvre l'ensemble des activités de traitement, et pas seulement celles documentées au moment de la signature.

Résultat : des relations de sous-traitance juridiquement défendables

Correspond aux articles 26 et 28 du RGPD, obligations responsable du traitement-sous-traitant

Catégorie 3

Transferts internationaux de données

Depuis l'arrêt Schrems II, c'est là que la plupart des évaluations sont les plus faibles. Documentez où les données sont stockées et traitées, quels mécanismes de transfert sont en place (CCT, décisions d'adéquation, BCR) et si une analyse d'impact des transferts a été réalisée pour chaque transfert vers un pays tiers.

Résultat : une documentation des transferts prête pour l'audit

Correspond aux articles 44 à 49 du RGPD, garanties relatives aux transferts transfrontaliers

Catégorie 4

Mesures techniques et organisationnelles

Évaluez les normes de chiffrement (au repos et en transit), les contrôles d'accès, les pratiques de pseudonymisation, la fréquence des tests d'intrusion, les capacités de réponse aux incidents et les certifications telles qu'ISO 27001 ou SOC 2. C'est ici que vous mesurez si la posture de sécurité du fournisseur correspond à la sensibilité des données qu'il traite.

Résultat : une évaluation de sécurité calibrée selon le risque

Correspond à l'article 32 du RGPD, sécurité du traitement

Catégorie 5

Gestion des sous-traitants ultérieurs

Les fournisseurs de vos fournisseurs sont votre problème. Évaluez si le fournisseur recourt à des sous-traitants ultérieurs, comment il les évalue, si une autorisation préalable est requise avant d'en engager de nouveaux et comment les changements sont communiqués. Un fournisseur ayant des sous-traitants ultérieurs non divulgués est une faille de conformité qui ne demande qu'à être découverte.

Résultat : une visibilité complète sur la chaîne de sous-traitance ultérieure

Correspond aux articles 28(2) et 28(4) du RGPD, obligations relatives aux sous-traitants ultérieurs

Catégorie 6

Prise en charge des droits des personnes concernées

Lorsqu'une personne concernée soumet une demande d'accès, de suppression ou de portabilité, votre fournisseur doit pouvoir répondre dans votre délai requis, et non le sien. Évaluez sa capacité technique à localiser, exporter et supprimer les données à caractère personnel, et confirmez ses engagements contractuels à soutenir vos obligations au titre des articles 15 à 22.

Résultat : une capacité de réponse aux demandes garantie

Correspond aux articles 15 à 22 et 28(3)(e) du RGPD, droits des personnes concernées

Catégorie 7

Processus de notification des violations

L'article 33 vous accorde 72 heures pour notifier une violation à votre autorité de contrôle, et ce délai commence dès que vous en prenez connaissance. Évaluez les capacités de détection des violations de votre fournisseur, le délai de notification auquel il s'engage envers vous, ses procédures d'escalade et s'il dispose d'un historique documenté d'incidents passés.

Résultat : des SLA de notification des violations applicables

Correspond aux articles 33 et 34 du RGPD, obligations de notification des violations

Catégorie 8

Conservation et suppression des données

Confirmez les politiques de conservation du fournisseur, ses procédures de suppression à la résiliation du contrat et s'il fournit une attestation écrite de suppression. Le constat d'audit le plus courant dans les évaluations de fournisseurs : aucune preuve que les données ont effectivement été supprimées à la fin de la relation.

Résultat : une suppression documentée avec preuve à l'appui

Correspond à l'article 28(3)(g) du RGPD, obligations de suppression

Catégorie 9

Droits d'audit et éléments de preuve

Déterminez si le fournisseur autorise les audits (sur site ou à distance), quels éléments de preuve il fournit de manière proactive. Rapports SOC 2, certificats ISO 27001, synthèses de tests d'intrusion, et si les clauses d'audit sont garanties contractuellement, et pas seulement promises verbalement.

Résultat : une assurance continue, et non une confiance aveugle

Correspond à l'article 28(3)(h) du RGPD, droits d'audit et d'inspection

Méthodologie de notation des risques

Comment noter et hiérarchiser vos évaluations des risques fournisseurs

Tous les fournisseurs ne méritent pas le même niveau de scrutin. Une approche fondée sur le risque vous permet d'allouer la profondeur d'évaluation de façon proportionnée, en consacrant 80 % de votre effort aux 20 % de fournisseurs qui posent le plus de risque. Voici un cadre qui fonctionne dans les organisations multi-entités.

Risque élevé. Score 75 à 100

75–100

Évaluation complète requise

Fournisseurs traitant des catégories particulières de données, des données à caractère personnel à grande échelle ou des données impliquant des transferts transfrontaliers vers des pays non adéquats. Ils nécessitent les neuf catégories du questionnaire, une réévaluation annuelle et des droits d'audit contractuels.

  • Sous-traitants de paie sur plusieurs juridictions
  • Infrastructures cloud hébergeant des données à caractère personnel
  • Sous-traitants de données de santé
  • Plateformes RH avec données sensibles d'employés

Risque moyen. Score 40 à 74

40–74

Évaluation standard

Fournisseurs traitant des données à caractère personnel dans une portée limitée : coordonnées, adresses e-mail professionnelles ou données analytiques pseudonymisées. Évaluez les catégories essentielles (1 à 5, 7, 8) avec des cycles de réévaluation tous les deux ans.

  • Plateformes CRM avec données de contact clients
  • Prestataires d'e-mail marketing
  • Outils de gestion de projet avec comptes utilisateurs
  • Systèmes de billetterie du support client

Risque faible. Score 0 à 39

0–39

Évaluation allégée

Fournisseurs avec un accès minimal ou nul aux données à caractère personnel : données anonymisées uniquement, aucune interaction directe avec les personnes concernées ou outillage purement interne sans traitement de données à caractère personnel. Les catégories 1 et 2 ainsi qu'une vérification du contrat de sous-traitance peuvent suffire.

  • Fournisseurs de fournitures de bureau sans accès aux données
  • Outils analytiques traitant des données entièrement anonymisées
  • Supervision d'infrastructure sans données personnelles
  • Outils de conception ou de développement sans données utilisateurs

200+

Heures économisées sur la préparation à la conformité

Medtec a économisé plus de 200 heures dans sa préparation à la certification ISO 27001 en remplaçant la collecte manuelle des preuves par des flux de conformité automatisés, dès sa première année sur Priverion.

100%

Couverture des évaluations des risques fournisseurs

Zurzach Care est passé d'une supervision partielle des fournisseurs à une couverture de 100 % des évaluations des risques fournisseurs sur toutes ses entités après avoir déployé les flux d'évaluation automatisés de Priverion.

60%

Réduction du temps administratif de conformité

Un constructeur aéronautique a réduit son temps administratif de conformité de 60 % au cours de ses six premiers mois, intégration, migration complètes et recertification automatisée du registre des traitements sur ses filiales comprises.

Pièges courants

Six erreurs qui rendent les évaluations des risques fournisseurs indéfendables

Les autorités de contrôle ne vérifient pas seulement si vous avez réalisé une évaluation, elles vérifient si elle avait un sens. Voici les schémas qui transforment un effort de conformité raisonnable en cible de sanction.

Erreur 1

Des questionnaires uniformes

Envoyer le même formulaire de 80 questions à un fournisseur d'infrastructure cloud et à une entreprise de restauration. Sans hiérarchisation des risques, les fournisseurs se noient dans des questions sans rapport ou reçoivent des évaluations trop superficielles pour être utiles. Résultat : une lassitude des fournisseurs et des taux de complétion faibles à tous les niveaux.

Erreur 2

Évaluer une fois, oublier pour toujours

Réaliser une évaluation de fournisseur lors de l'intégration et ne jamais la renouveler. Les fournisseurs changent de sous-traitants ultérieurs, de lieux d'hébergement et de pratiques de sécurité. Une évaluation de 2021 ne vous dit rien du profil de risque d'un fournisseur en 2024. Les fournisseurs à risque élevé nécessitent une réévaluation annuelle au minimum.

Erreur 3

Ignorer les chaînes de sous-traitance ultérieure

Votre fournisseur affirme être conforme au RGPD, mais son sous-traitant ultérieur achemine les données via un CDN basé aux États-Unis sans CCT. L'article 28(2) exige une autorisation préalable spécifique ou générale pour les sous-traitants ultérieurs, et vous êtes responsable de l'ensemble de la chaîne de traitement, pas seulement de votre relation directe.

Erreur 4

Aucun suivi centralisé entre les entités

La filiale A a évalué un fournisseur en mars. La filiale B engage le même fournisseur en juin et repart de zéro, ou pire, ne l'évalue pas du tout. Sans registre des fournisseurs à l'échelle du groupe, vous dupliquez les efforts et créez des profils de risque incohérents pour les mêmes sous-traitants.

Erreur 5

Collecter des réponses sans noter le risque

Un questionnaire rempli n'est pas une évaluation des risques. Si vous ne convertissez pas les réponses des fournisseurs en un score de risque, et que vous ne comparez pas ce score à votre appétence au risque, vous ne faites que classer de la paperasse. Les auditeurs veulent voir que vous avez évalué le risque et pris des décisions documentées sur la base des constats.

Erreur 6

Aucune preuve de suivi des manquements

Vous avez constaté qu'un fournisseur n'assure pas le chiffrement au repos dans sa réponse d'évaluation. Puis... plus rien. Les autorités de contrôle recherchent spécifiquement des actions de remédiation documentées : décisions d'acceptation du risque, exigences contractuelles d'amélioration ou retrait du fournisseur lorsque les risques sont inacceptables.

Du manuel à l'automatisé

Comment les principales équipes de protection des données automatisent les évaluations des risques fournisseurs

Les évaluations de fournisseurs basées sur des tableurs fonctionnent jusqu'à ce que vous atteigniez 20 fournisseurs, 3 entités ou votre premier audit. Voici ce qui change lorsque vous passez à un flux de gestion des risques fournisseurs dédié.

Un registre des fournisseurs centralisé sur toutes les entités

Chaque relation fournisseur, sur chaque filiale et juridiction, visible dans un registre unique. Lorsque la filiale A évalue un fournisseur, la filiale B hérite de cette évaluation et peut l'étendre ou l'adapter à ses activités de traitement spécifiques. Aucune duplication, aucune lacune.

Distribution des questionnaires fondée sur le risque

Attribuez automatiquement la profondeur du questionnaire selon le niveau de risque du fournisseur. Les fournisseurs à risque élevé reçoivent l'évaluation complète des neuf catégories. Les fournisseurs à risque faible reçoivent une vérification allégée. Les fournisseurs complètent leurs évaluations directement dans la plateforme, fini les échanges d'e-mails et les pièces jointes égarées.

Notation et signalement des risques assistés par l'IA

L'IA examine les réponses des fournisseurs et signale les points de vigilance potentiels (détails de chiffrement manquants, sous-traitants ultérieurs non divulgués, lacunes dans les mécanismes de transfert) en vue d'une revue humaine. L'IA assiste votre évaluation ; votre équipe de protection des données prend la décision finale. Aucune donnée client n'est utilisée pour l'entraînement des modèles.

Cycles de réévaluation automatisés

Définissez les fréquences de réévaluation par niveau de risque (annuelle pour le risque élevé, tous les deux ans pour le risque moyen) et le système gère automatiquement les rappels, la distribution et l'escalade. AXA a atteint un taux de recertification de 100 % de son registre des traitements grâce à cette même approche de recertification automatisée pour ses évaluations de fournisseurs.

AXA, taux de recertification du registre des traitements de 100 %, entièrement automatisé

Dossiers de preuves prêts pour l'audit

Générez en quelques minutes une documentation complète d'évaluation des fournisseurs destinée aux autorités de contrôle : historique des évaluations, scores de risque, actions de remédiation, statut des contrats de sous-traitance et analyses d'impact des transferts. Medtec a économisé plus de 200 heures dans sa préparation à ISO 27001 grâce à cette capacité précise.

Medtec, plus de 200 heures économisées la première année

Tableaux de bord de conformité prêts pour la direction

Une visibilité en temps réel sur la posture de risque fournisseur de toutes les entités : combien de fournisseurs évalués, répartition actuelle des risques, réévaluations en retard et points de remédiation ouverts. Les RSSI et responsables juridiques obtiennent la supervision dont ils ont besoin sans réclamer de rapports manuels à chaque DPD de filiale.

Alternative à OneTrust

La qualité grande entreprise sans la complexité grande entreprise

Les entreprises de taille intermédiaire n'ont pas besoin d'une plateforme conçue pour des équipes de conformité Fortune 50 dotées de budgets Fortune 50. Elles ont besoin d'une plateforme qui correspond réellement à leur façon de travailler.

La plateforme grande entreprise typique

Tarification par utilisateur et par module

Les coûts explosent de façon imprévisible à mesure que vous ajoutez des filiales, des utilisateurs ou des modules. Les discussions budgétaires deviennent des négociations.

Infrastructure hébergée aux États-Unis

Depuis l'arrêt Schrems II, l'hébergement aux États-Unis crée une exposition juridique permanente pour les transferts de données européennes. Des CCT et AIPD supplémentaires sont nécessaires rien que pour votre outil de conformité lui-même.

Mise en œuvre sur 12 mois

Équipes d'intégration dédiées, prestations de services professionnels et des mois avant que votre premier registre des traitements ne soit même migré.

Surcharge de fonctionnalités

ESG, lignes d'alerte éthiques, gestion du consentement aux cookies et des dizaines de modules que vous n'utiliserez jamais, mais que vous payez quand même.

200 intégrations superficielles

Impressionnant sur une diapositive comparative. En pratique, la plupart cassent lors des mises à jour et génèrent une charge de maintenance que votre équipe absorbe.

Modèle gratuit

Téléchargez le modèle de questionnaire d'évaluation des risques fournisseurs RGPD

Un questionnaire prêt à l'emploi couvrant les neuf catégories, formaté pour un déploiement immédiat sur l'ensemble de votre portefeuille de fournisseurs. Élaboré à partir des cadres utilisés par les organisations multi-entités qui gèrent la conformité sur des dizaines de filiales.

Nous vous enverrons le modèle dans votre boîte de réception. Pas de spam, pas de séquences, juste le modèle et un seul message de suivi vous demandant s'il vous a été utile.

  • Les neuf catégories d'évaluation avec leurs questions précises
  • Une grille de notation des risques avec des conseils d'évaluation par niveau
  • La correspondance avec les articles du RGPD pour chaque catégorie de questions
  • Une liste de contrôle d'évaluation de la chaîne de sous-traitance ultérieure
  • Un modèle de calendrier de réévaluation par niveau de risque

Arrêtez de gérer le risque fournisseurs dans des tableurs

Découvrez à quoi ressemble une gestion des risques fournisseurs à l'échelle du groupe lorsqu'elle fonctionne réellement

En 30 minutes, nous vous montrerons comment des organisations comme Zurzach Care ont atteint une couverture de 100 % de leurs évaluations des risques fournisseurs sur chaque entité, et comment un constructeur aéronautique a réduit son temps administratif de conformité de 60 % au cours de ses six premiers mois. Pas de diapositives. Pas d'argumentaire commercial. Juste la plateforme, vos questions et une conversation honnête sur l'adéquation.

Des semaines, pas des mois

Délai de mise en service

Hébergé en Suisse

Résidence des données en Europe

Aucune tarification par utilisateur

Des coûts prévisibles qui évoluent avec vous

Réservez une présentation de 30 minutes

Aucun engagement requis. Nous vous dirons honnêtement si Priverion est le bon choix, ou nous vous orienterons vers une meilleure solution.

The Privacy Compliance Briefing

Chaque mois, des analyses sur l'application du RGPD, les évolutions de la nouvelle loi sur la protection des données (nLPD) et les stratégies d'automatisation destinées aux DPD et aux équipes de conformité.

Pas de spam. Désabonnement à tout moment.

À propos de cette page — références, définitions et FAQ

Points clés

Un questionnaire d'évaluation des risques fournisseurs RGPD défendable doit couvrir neuf catégories rattachées aux articles 28, 32 et 44 à 49, dont l'identité du fournisseur, la vérification du contrat de sous-traitance, les transferts internationaux, les mesures techniques, les chaînes de sous-traitance ultérieure, les droits des personnes concernées, la notification des violations, la conservation et les droits d'audit. Une notation fondée sur le risque garantit un niveau de scrutin proportionné, et l'automatisation élimine les incohérences qui minent les approches basées sur des tableurs dans les organisations multi-entités.

Définitions

Qu'est-ce qu'une évaluation des risques fournisseurs RGPD ?

Évaluation des risques fournisseurs RGPD désigne un processus d'évaluation structuré par lequel un responsable du traitement évalue la conformité d'un sous-traitant au Règlement général sur la protection des données (RGPD), en particulier les mesures techniques et organisationnelles requises au titre de l'article 28 du RGPD et de l'article 32. L'évaluation détermine si le sous-traitant offre des « garanties suffisantes » avant que le traitement de données à caractère personnel ne commence.

Qu'est-ce qu'un contrat de sous-traitance ?

Contrat de sous-traitance désigne un contrat juridiquement contraignant entre un responsable du traitement et un sous-traitant qui définit l'objet, la durée, la nature et la finalité du traitement, le type de données à caractère personnel, les catégories de personnes concernées ainsi que les obligations et droits du responsable du traitement, comme l'impose l'article 28(3) du RGPD.

Qu'est-ce qu'une analyse d'impact des transferts (AIT) ?

Analyse d'impact des transferts (AIT) désigne une évaluation requise à la suite de l'arrêt Schrems II de la CJUE afin de déterminer si le cadre juridique d'un pays tiers offre une protection adéquate aux données à caractère personnel transférées au titre des clauses contractuelles types. Les recommandations 01/2020 de l'EDPB fournissent des orientations sur la conduite des AIT et la mise en œuvre de mesures supplémentaires.

Que sont les clauses contractuelles types (CCT) ?

Clauses contractuelles types (CCT) désigne des modèles contractuels préapprouvés adoptés par la Commission européenne qui offrent des garanties appropriées pour les transferts internationaux de données au titre de l'article 46(2)(c) du RGPD. Les CCT actuelles ont été adoptées en juin 2021 par la décision d'exécution (UE) 2021/914 de la Commission.

Statistiques et contexte sectoriel

Selon le rapport annuel IAPP-EY 2023 sur la gouvernance de la confidentialité, 60 % des organisations indiquent que la gestion du risque lié aux tiers demeure l'un de leurs principaux défis en matière de confidentialité. Le même rapport révèle que l'organisation moyenne gère des relations avec plus de 100 sous-traitants, rendant les approches d'évaluation manuelles intenables à grande échelle.

Le rapport annuel 2022 de l'EDPB a indiqué que les autorités de contrôle de l'EEE ont prononcé des amendes dépassant 2,9 milliards d'euros, les violations liées aux sous-traitants — en particulier les contrats inadéquats au titre de l'article 28 et les garanties de transfert insuffisantes — figurant parmi les motifs les plus fréquemment cités.

Une prévision de Gartner projetait que d'ici 2025, 75 % de la population mondiale verrait ses données à caractère personnel couvertes par des réglementations modernes en matière de confidentialité, élargissant considérablement la portée des évaluations de fournisseurs pour les organisations multinationales.

Le rapport Threat Landscape 2023 de l'ENISA a identifié les attaques de la chaîne d'approvisionnement comme l'une des principales menaces, renforçant la nécessité d'évaluations rigoureuses des sous-traitants ultérieurs au titre des articles 28(2) et 28(4) du RGPD.

Foire aux questions

Que doit couvrir un questionnaire d'évaluation des risques fournisseurs RGPD ?

Un questionnaire conforme doit couvrir neuf catégories : identité du fournisseur et aperçu du traitement, base légale et vérification du contrat de sous-traitance, transferts internationaux de données, mesures techniques et organisationnelles (article 32), gestion des sous-traitants ultérieurs, prise en charge des droits des personnes concernées, processus de notification des violations, conservation et suppression des données, et droits d'audit. Chacune correspond à des articles précis du RGPD, notamment les articles 28, 32 et 44 à 49.

Comment les fournisseurs doivent-ils être hiérarchisés selon leur niveau de risque ?

Les fournisseurs sont généralement répartis en trois niveaux : Risque élevé (score 75 à 100) nécessitant une évaluation complète des neuf catégories avec une réévaluation annuelle ; Risque moyen (score 40 à 74) nécessitant une évaluation standard des catégories essentielles avec une réévaluation tous les deux ans ; et Risque faible (score 0 à 39) ne nécessitant qu'une évaluation allégée portant sur l'identité du fournisseur et la vérification du contrat de sous-traitance. Cette approche suit le principe de proportionnalité inscrit à l'article 24 du RGPD.

Pourquoi les évaluations de fournisseurs basées sur des tableurs échouent-elles à grande échelle ?

Les évaluations basées sur des tableurs s'effondrent dès qu'il s'agit de gérer des centaines de fournisseurs répartis sur plusieurs juridictions et entités. Les défaillances courantes incluent les problèmes de gestion des versions, la notation incohérente, l'impossibilité de suivre les échéances de réévaluation, l'absence de pistes d'audit et le manque de visibilité centralisée sur l'ensemble des filiales. Selon le rapport IAPP-EY 2023 sur la gouvernance de la confidentialité, 60 % des organisations peinent encore à gérer le risque lié aux tiers.

Qu'exige l'article 28 du RGPD pour les évaluations des sous-traitants ?

L'article 28 du RGPD impose aux responsables du traitement de ne recourir qu'à des sous-traitants présentant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. Les responsables du traitement doivent s'assurer qu'un contrat de sous-traitance est en place, couvrant l'objet, la durée, la nature et la finalité du traitement, le type de données à caractère personnel, les catégories de personnes concernées ainsi que les obligations et droits du responsable du traitement.

Comment l'arrêt Schrems II affecte-t-il les évaluations de fournisseurs ?

L'arrêt Schrems II (affaire C-311/18 de la CJUE, juillet 2020) a invalidé le bouclier de protection des données UE-États-Unis et impose aux organisations de mener une analyse d'impact des transferts pour chaque transfert de données vers un pays tiers. Les questionnaires fournisseurs doivent désormais documenter où les données sont stockées et traitées, quels mécanismes de transfert sont utilisés (CCT, décisions d'adéquation, BCR) et si des mesures supplémentaires sont en place, conformément aux recommandations 01/2020 de l'EDPB.

Qu'est-ce que l'exigence de notification des violations sous 72 heures pour les fournisseurs ?

En vertu de l'article 33 du RGPD, les responsables du traitement doivent notifier leur autorité de contrôle dans les 72 heures après avoir pris connaissance d'une violation de données à caractère personnel. Comme le délai commence dès la prise de connaissance, les contrats fournisseurs doivent inclure des SLA de notification des violations laissant au responsable du traitement suffisamment de temps pour évaluer et signaler. La bonne pratique consiste à exiger des fournisseurs une notification dans les 24 à 48 heures suivant la détection.

À quelle fréquence les évaluations des risques fournisseurs doivent-elles être renouvelées ?

La fréquence de réévaluation doit être adaptée au niveau de risque : annuelle pour les fournisseurs à risque élevé, tous les deux ans pour les fournisseurs à risque moyen, et tous les trois ans ou en cas de changement important pour les fournisseurs à risque faible. Tout changement significatif dans la portée du traitement, toute violation de données ou tout nouveau recours à un sous-traitant ultérieur doit déclencher une réévaluation ponctuelle, indépendamment du cycle planifié.

Les évaluations des risques fournisseurs peuvent-elles être automatisées dans le cadre du RGPD ?

Oui. Les plateformes GRC dédiées automatisent la distribution des questionnaires, la collecte des réponses, la notation des risques, la planification des réévaluations et la génération des pistes d'audit dans les organisations multi-entités. L'automatisation garantit la cohérence, réduit l'effort manuel et fournit des tableaux de bord centralisés aux DPD qui gèrent des portefeuilles de fournisseurs répartis sur des filiales dans plusieurs juridictions.

Comparaison des évaluations de fournisseurs : manuel ou automatisé

CapacitéTableur / manuelPlateforme GRC dédiée
Distribution des questionnairesPar e-mail, suivi manuelAutomatisée avec rappels et échéances
Cohérence de la notation des risquesVarie selon l'évaluateurAlgorithmes de notation standardisés
Visibilité multi-entitésCloisonnée par filialeTableau de bord centralisé à l'échelle du groupe
Planification des réévaluationsRappels d'agenda, souvent manquésPlanification automatisée fondée sur le risque
Piste d'auditFragmentée entre fichiers et e-mailsComplète, horodatée, inaltérable
Suivi des sous-traitants ultérieursMises à jour manuelles, souvent obsolètesNotifications de changement automatisées
Reporting réglementaireCompilation manuelleExport en un clic pour les autorités de contrôle
Évolutivité (plus de 100 fournisseurs)S'effondre nettementConçue pour l'échelle de l'entreprise