Téléchargement gratuit du modèle RGPD

Le modèle RGPD d'évaluation des risques fournisseurs dont votre équipe de protection des données a vraiment besoin

Mis à jour le 2026-06-22
Points clés : modèle RGPD gratuit et spécialement conçu pour l'évaluation des risques fournisseurs, couvrant l'article 28, les TIA, la cartographie des sous-traitants ultérieurs et les droits des personnes concernées — prêt en 5 minutes.

Cessez d'adapter des questionnaires de sécurité génériques au RGPD. Téléchargez un modèle d'évaluation des risques fournisseurs spécialement conçu, couvrant les exigences de l'article 28, les analyses d'impact des transferts, la surveillance des sous-traitants ultérieurs et les droits des personnes concernées , prêt à l'emploi en 5 minutes.

Télécharger le modèle RGPD gratuit

Plébiscité par des équipes de protection des données qui gèrent la conformité dans plus de 50 pays , dont des industriels du Fortune 500, des entreprises SaaS internationales et des groupes de services financiers.

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Ce que contient le modèle

Conçu pour le RGPD , pas recyclé à partir d'une liste de contrôle de sécurité

Chaque section de ce modèle correspond directement à une obligation précise du RGPD. Pas de questions superflues sur la configuration des pare-feu. Pas d'échelles génériques du type « évaluez la posture de sécurité de votre fournisseur ». Voici ce que vous obtenez.

Section 01

Profil du fournisseur et aperçu du traitement

Saisissez le rôle du fournisseur , responsable du traitement, sous-traitant ou responsable conjoint du traitement , ainsi que les catégories de données personnelles traitées, les personnes concernées, les finalités du traitement et la base juridique invoquée. Aucune ambiguïté sur qui fait quoi avec les données de qui.

Résultat : un registre complet conforme à l'article 30 pour chaque relation fournisseur

Aligné sur les articles 4, 26 et 30 du RGPD

Section 02

Évaluation de la conformité à l'article 28

Évaluation structurée de l'adéquation du contrat de sous-traitance : mécanismes de notification et d'autorisation des sous-traitants ultérieurs, droits d'audit, obligations de portabilité et de suppression des données, délais de notification des incidents, et vérification que le traitement reste conforme aux instructions documentées.

Résultat : une analyse des écarts du contrat de sous-traitance défendable pour chaque sous-traitant

Couvre l'ensemble des 10 dispositions obligatoires de l'article 28, paragraphe 3, du RGPD

Section 03

Risque lié aux transferts transfrontaliers (prêt pour la TIA)

Questions alignées sur les orientations du CEPD relatives à l'analyse d'impact des transferts : mécanismes de transfert en place, évaluation des lois de surveillance du pays de destination, mesures supplémentaires, et applicabilité concrète des droits des personnes concernées dans la juridiction du destinataire.

Résultat : une documentation TIA prête pour examen par l'autorité de contrôle

Aligné sur les recommandations 01/2020 du CEPD relatives aux mesures supplémentaires Schrems II

Section 04

Cartographie de la chaîne des sous-traitants ultérieurs

Identifiez et évaluez les sous-traitants ultérieurs de votre fournisseur , y compris leurs localisations, leurs rôles de traitement et la répercussion contractuelle des obligations du RGPD. Parce que votre risque ne s'arrête pas au niveau 1. Il s'étend à chaque maillon de la chaîne de traitement.

Résultat : une visibilité complète sur l'exposition aux sous-traitants ultérieurs dans toutes les juridictions

Zurzach Care a atteint une couverture de 100 % de l'évaluation des risques fournisseurs grâce à une cartographie structurée des sous-traitants ultérieurs . Données client Priverion

Section 05

Respect des droits des personnes concernées

Évaluez la capacité du fournisseur à soutenir vos obligations au titre des articles 15 à 22 : demandes d'accès, rectification, effacement, portabilité et traitement des oppositions. Inclut les SLA de délai de réponse et la vérification des capacités techniques , car un contrat de sous-traitance qui promet une assistance sans préparation opérationnelle ne vaut rien.

Résultat : une capacité documentée de traitement des demandes des personnes concernées par fournisseur

Couvre les articles 15 à 22 du RGPD et les lignes directrices du CEPD relatives aux droits des personnes concernées

Section 06

Matrice de notation des risques et suivi des mesures correctives

Une grille de notation intégrée classe le risque fournisseur en Faible, Moyen, Élevé ou Critique selon des réponses pondérées , offrant à votre équipe de protection des données une classification des risques défendable et documentée. Plus un outil de suivi des mesures correctives pour attribuer les actions, les responsables et les échéances, afin que l'évaluation devienne un instrument vivant de gestion des risques.

Résultat : une classification des risques prête pour un audit, telle que l'attendent les autorités de contrôle

Les équipes de protection des données déclarent consacrer plus de 8 heures par fournisseur aux évaluations de risques manuelles réalisées à l'aide de modèles de tableur . Analyse comparative interne Priverion

Télécharger le modèle complet . Gratuit

Format PDF. Sans carte de crédit. Prêt à l'emploi en 5 minutes.

200+

Heures économisées sur la gestion du registre des traitements

Medtec a récupéré plus de 200 heures lors de la préparation à l'ISO 27001 en remplaçant les flux de documentation manuels par une génération automatisée des preuves de conformité.

60%

De temps administratif de conformité en moins

Un constructeur aéronautique a obtenu une réduction de 60 % du temps administratif de conformité en 6 mois , avec une tarification prévisible basée sur les entités et non sur les pièges de l'expansion par utilisateur.

3 mo

D'avance sur le calendrier de certification ISO 27001

Medtec a réduit de trois mois son calendrier de préparation à l'ISO 27001 grâce aux dossiers de preuves prêts pour un audit et aux flux de documentation automatisés de Priverion.

Comparatif concurrentiel

Pourquoi les équipes du marché intermédiaire passent de OneTrust à Priverion

OneTrust s'adresse aux organisations du Fortune 500, avec une portée GRC plus large et des équipes de protection des données dédiées. Si vous gérez la protection des données pour 5 à 50 entités et qu'il vous faut une solution qui fonctionne réellement sans équipe d'implémentation dédiée, voici à quoi ressemble vraiment la comparaison.

L'expérience OneTrust

Tarification par module et par utilisateur

Les coûts augmentent de manière imprévisible à mesure que vous ajoutez des utilisateurs, des modules ou des filiales. Les directeurs financiers redoutent la conversation annuelle de renouvellement.

Siège et hébergement aux États-Unis

Après l'arrêt Schrems II, stocker des données de conformité sur une infrastructure américaine crée précisément le risque de transfert transfrontalier que vous cherchez à maîtriser.

Surcharge de fonctionnalités

Modules ESG, gestion des cookies, lignes d'alerte éthiques , vous payez pour des capacités que vous n'utiliserez jamais, tandis que les fonctionnalités dont vous avez besoin requièrent des services professionnels pour être configurées.

Des mois avant la mise en service

Les implémentations d'entreprise prennent couramment de 6 à 12 mois, avec des chefs de projet dédiés, des consultants et des programmes de formation.

Une complexité qui exige des spécialistes

La courbe d'apprentissage implique que votre DPD a besoin de plusieurs semaines de formation , ou que vous engagiez un consultant rien que pour faire fonctionner l'outil censé simplifier les choses.

L'expérience Priverion

Une tarification prévisible et tout compris

Tarifée selon le nombre d'entités et la taille de l'organisation , pas par utilisateur, ni par module. Aucun piège d'expansion. Votre directeur financier peut établir son budget en toute confiance.

Conçu et hébergé en Suisse

Toutes les données sont traitées et stockées au sein d'une infrastructure suisse. La résidence européenne des données n'est pas un argument marketing . c'est notre architecture juridique. Vos données de conformité ne quittent jamais les juridictions auxquelles vous faites confiance.

Spécialement conçu pour la protection des données

Registre des traitements, AIPD/TIA, risques fournisseurs, gestion des incidents, traitement des demandes des personnes concernées et cartographie des données inter-entités , tout ce dont un DPD a réellement besoin, et rien de superflu. Nous ne couvrons ni l'ESG, ni les lignes d'alerte éthiques, ni la gestion des cookies. C'est un choix délibéré.

Opérationnel en quelques semaines

Un constructeur aéronautique a constaté une réduction de 60 % du temps administratif de conformité en six mois. Pas six mois d'implémentation , six mois de résultats.

Données client d'un constructeur aéronautique, 6 premiers mois après le déploiement

Une UX que votre équipe utilisera vraiment

Une interface épurée conçue pour les praticiens de la conformité , pas pour les consultants d'entreprise. Les unités opérationnelles réalisent la recertification sans sessions de formation ni tickets d'assistance. AXA a atteint un taux de recertification du registre des traitements de 100 % grâce à des flux de travail entièrement automatisés.

Résultats client AXA, programme de recertification automatisée

Vous passez plus de temps à gérer votre outil de conformité qu'à gérer la conformité elle-même ?

Réservez une présentation de 30 min
Téléchargement gratuit

Obtenez le modèle RGPD d'évaluation des risques fournisseurs

Saisissez votre adresse e-mail professionnelle ci-dessous. Vous recevrez le modèle PDF immédiatement , sans campagnes de relance, sans appels commerciaux à moins que vous ne le demandiez.

Format PDF. Téléchargement instantané. Nous respectons votre vie privée , vos données sont traitées conformément à la loi suisse sur la protection des données et ne seront pas communiquées à des tiers.

FAQ

Questions fréquentes sur ce modèle

En quoi cela diffère-t-il d'un questionnaire de sécurité fournisseur générique ?

La plupart des questionnaires fournisseurs se concentrent sur les mesures de sécurité informatique , pare-feu, chiffrement, gestion des correctifs. Ce modèle est spécialement conçu pour les obligations du RGPD : exigences du contrat de sous-traitance de l'article 28, analyses d'impact des transferts, cartographie de la chaîne des sous-traitants ultérieurs et respect des droits des personnes concernées. Chaque question correspond à une exigence réglementaire, et non à un cadre de sécurité.

Convient-il aux organisations situées en dehors de l'UE ?

Oui. Si vous traitez les données personnelles de résidents de l'UE , quel que soit le lieu du siège de votre organisation . le RGPD s'applique à vos relations fournisseurs. Le modèle est également aligné sur la nLPD suisse (nDSG), ce qui le rend adapté aux opérations transfrontalières entre la Suisse et l'UE.

Puis-je personnaliser le modèle pour nos processus internes ?

Absolument. Le modèle est conçu comme un point de départ. Vous pouvez ajouter des questions propres à votre secteur, ajuster les pondérations de notation des risques ou aligner les sections sur la politique de gestion des fournisseurs de votre organisation. La structure est modulaire , ajoutez ou supprimez des sections selon vos besoins.

Quel est le lien avec la plateforme de Priverion ?

Ce modèle reprend la même méthodologie d'évaluation des risques fournisseurs intégrée à la plateforme de Priverion. La différence : dans Priverion, les évaluations sont automatisées pour l'ensemble de vos fournisseurs, avec une notation des risques assistée par IA, des tableaux de bord centralisés et une recertification automatisée. Zurzach Care a atteint une couverture de 100 % de l'évaluation des risques fournisseurs grâce à la plateforme. Le modèle vous fournit le cadre ; la plateforme le déploie à grande échelle.

Sous quel format se présente le modèle ?

Format PDF, prêt à l'emploi immédiatement. Vous pouvez l'imprimer, le partager en interne ou l'utiliser comme document de référence lors de l'élaboration de votre programme d'évaluation des risques fournisseurs. Aucun logiciel particulier requis.

Recevrai-je des e-mails commerciaux après le téléchargement ?

Vous recevrez le modèle ainsi qu'un unique suivi proposant des ressources RGPD supplémentaires. Aucune campagne de relance. Aucun appel à froid. Si vous souhaitez découvrir comment Priverion automatise les évaluations des risques fournisseurs à grande échelle, vous pouvez réserver une présentation à votre convenance.

Cessez de gérer la protection des données dans des tableurs

Découvrez à quoi ressemble une gestion de la protection des données à l'échelle du groupe quand elle fonctionne vraiment

En 30 minutes, nous vous montrerons comment des organisations comme un constructeur aéronautique ont automatisé la recertification du registre des traitements dans chaque filiale , et réduit de 60 % le temps administratif de conformité au cours de leurs six premiers mois.

60%

De temps administratif de conformité en moins . Constructeur aéronautique, 6 premiers mois

200+

Heures économisées sur la préparation à l'ISO 27001 . Medtec

100%

Couverture de l'évaluation des risques fournisseurs . Zurzach Care

Réservez une présentation de 30 minutes

Aucun engagement requis. Nous vous présenterons Priverion avec votre cas d'usage , pas une démo générique.

Conçu et hébergé en Suisse

Tarification prévisible , sans pièges par utilisateur

Opérationnel en quelques semaines, pas en quelques mois

The Privacy Compliance Briefing

Des analyses mensuelles sur l'application du RGPD, les actualités de la nLPD suisse et les stratégies d'automatisation à l'intention des DPD et des équipes de conformité.

Pas de spam. Désabonnement à tout moment.

À propos de cette page — références, définitions et FAQ

Points clés

Ce modèle RGPD gratuit d'évaluation des risques fournisseurs est spécialement conçu pour les délégués à la protection des données et les équipes de protection des données. Il couvre l'ensemble des 10 dispositions obligatoires de l'article 28, paragraphe 3, du RGPD, les analyses d'impact des transferts transfrontaliers alignées sur les recommandations 01/2020 du CEPD, la cartographie de la chaîne des sous-traitants ultérieurs au titre de l'article 28, paragraphes 2 et 4, et les vérifications du respect des droits des personnes concernées au titre des articles 15 à 22. Le modèle inclut une matrice de notation des risques intégrée et un outil de suivi des mesures correctives pour une documentation prête pour un audit.

Définitions

Qu'est-ce qu'une évaluation des risques fournisseurs ?

Une évaluation des risques fournisseurs est une évaluation systématique des pratiques de protection des données, des mesures de sécurité et de la conformité contractuelle d'un prestataire de services tiers. Au titre du RGPD, les responsables du traitement doivent exercer une diligence raisonnable sur les sous-traitants avant et pendant l'engagement afin de satisfaire au principe de responsabilité énoncé à l'article 5, paragraphe 2. [RGPD art. 28]

Qu'est-ce qu'une analyse d'impact des transferts (TIA) ?

Une analyse d'impact des transferts (TIA) est une évaluation documentée requise lors du transfert de données personnelles vers un pays tiers ne bénéficiant pas d'une décision d'adéquation de l'UE. L'évaluation détermine si le cadre juridique du pays de destination offre une protection substantiellement équivalente. Le CEPD a publié des orientations détaillées dans les recommandations 01/2020 faisant suite à l'arrêt Schrems II (CJUE, affaire C-311/18). [Recommandations 01/2020 du CEPD]

Qu'est-ce qu'un contrat de sous-traitance (DPA) ?

Un contrat de sous-traitance (DPA) est un contrat juridiquement contraignant entre un responsable du traitement et un sous-traitant qui définit l'objet, la durée, la nature et la finalité du traitement, le type de données personnelles et les catégories de personnes concernées. L'article 28, paragraphe 3, du RGPD précise les 10 clauses obligatoires que tout contrat de sous-traitance doit contenir.

Qu'est-ce que le CEPD ?

Le Comité européen de la protection des données (CEPD) est un organe européen indépendant institué par le RGPD qui contribue à l'application cohérente des règles de protection des données dans l'ensemble de l'EEE. Il publie des lignes directrices, des recommandations et des décisions contraignantes. [CEPD — À propos]

Statistiques et contexte

Selon le rapport IAPP-EY 2023 sur la gouvernance de la vie privée, l'organisation moyenne gère des relations avec plus de 100 fournisseurs tiers qui traitent des données personnelles, ce qui rend une évaluation structurée des risques fournisseurs essentielle pour une conformité évolutive. Le même rapport a constaté que 60 % des professionnels de la protection des données citent la gestion des fournisseurs parmi leurs trois principaux défis opérationnels. Le rapport annuel 2023 du CEPD a relevé une augmentation continue des mesures d'exécution liées à une surveillance insuffisante des sous-traitants, les amendes pour violations de l'article 28 dépassant cumulativement 50 millions d'euros au sein des autorités de contrôle de l'EEE. Selon les prévisions 2023 de Gartner en matière de protection de la vie privée, d'ici 2025, 60 % des grandes organisations utiliseront des outils automatisés d'évaluation des risques tiers, contre moins de 10 % en 2020.

Questions fréquentes

Qu'est-ce qu'une évaluation des risques fournisseurs au sens du RGPD ?

Une évaluation des risques fournisseurs au sens du RGPD est une analyse structurée des pratiques de protection des données d'un sous-traitant tiers, de sa conformité contractuelle à l'article 28, des garanties relatives aux transferts transfrontaliers et de sa capacité à soutenir les droits des personnes concernées au titre des articles 15 à 22. Elle aide les responsables du traitement à démontrer leur responsabilité au titre de l'article 5, paragraphe 2, et à documenter leur diligence raisonnable à l'intention des autorités de contrôle.

Qu'exige l'article 28 du RGPD pour les contrats de sous-traitance ?

L'article 28, paragraphe 3, du RGPD impose 10 dispositions spécifiques dans chaque contrat de sous-traitance : traitement uniquement sur instructions documentées, obligations de confidentialité, mesures de sécurité appropriées au titre de l'article 32, autorisation des sous-traitants ultérieurs, assistance aux droits des personnes concernées, suppression ou restitution des données à la fin des services, droits d'audit et démonstration de la conformité. Ce modèle évalue chaque disposition de manière systématique.

Comment ce modèle gère-t-il le risque lié aux transferts transfrontaliers ?

La section 3 s'aligne sur les recommandations 01/2020 du CEPD relatives aux mesures supplémentaires faisant suite à l'arrêt Schrems II. Elle couvre les mécanismes de transfert (clauses contractuelles types, décisions d'adéquation, règles d'entreprise contraignantes), l'évaluation des lois de surveillance du pays de destination, les mesures techniques et organisationnelles supplémentaires, ainsi que l'applicabilité concrète des droits des personnes concernées dans la juridiction du destinataire.

Pourquoi la cartographie des sous-traitants ultérieurs est-elle importante pour la conformité au RGPD ?

En vertu de l'article 28, paragraphes 2 et 4, du RGPD, les responsables du traitement doivent autoriser les sous-traitants ultérieurs et veiller à ce que les obligations du RGPD soient répercutées contractuellement à travers toute la chaîne de traitement. Le CEPD a souligné que la responsabilité du responsable du traitement ne s'arrête pas au niveau 1 — elle s'étend à chaque sous-traitant ultérieur de la chaîne. Ce modèle cartographie les localisations des sous-traitants ultérieurs, leurs rôles de traitement et les garanties contractuelles.

Combien de temps prend une évaluation des risques fournisseurs typique ?

Selon une analyse comparative interne de Priverion, les équipes de protection des données déclarent consacrer plus de 8 heures par fournisseur aux évaluations de risques manuelles réalisées à l'aide de modèles de tableur. Un modèle structuré et spécialement conçu peut réduire considérablement le temps d'évaluation en éliminant les questions de sécurité non pertinentes et en se concentrant exclusivement sur les obligations spécifiques au RGPD, telles que la conformité à l'article 28, l'aptitude à la TIA et la capacité de traitement des demandes des personnes concernées.

Ce modèle convient-il à la conformité à la nLPD suisse ?

Bien qu'il soit principalement conçu pour le RGPD, de nombreuses exigences recoupent celles de la nouvelle loi sur la protection des données (nLPD/nDSG) révisée, entrée en vigueur le 01.09.2023. Les sections relatives aux transferts transfrontaliers, aux sous-traitants ultérieurs et aux droits des personnes concernées sont pertinentes pour les deux cadres. La plateforme de Priverion prend en charge nativement des flux de travail de conformité combinés au RGPD et à la nLPD.

Quelle méthodologie de notation des risques le modèle utilise-t-il ?

Le modèle inclut une grille de notation intégrée qui classe le risque fournisseur en Faible, Moyen, Élevé ou Critique selon des réponses pondérées sur l'ensemble des six sections d'évaluation. Cette approche s'aligne sur la méthodologie fondée sur les risques recommandée par le cadre de gestion des risques de l'ENISA et produit la classification des risques défendable et documentée que les autorités de contrôle attendent lors des audits.

Comment Priverion se compare-t-il aux évaluations fournisseurs basées sur des tableurs ?

Les évaluations basées sur des tableurs manquent de contrôle des versions, de notation automatisée, de visibilité inter-entités et de pistes d'audit. La plateforme de Priverion automatise les flux de travail liés aux risques fournisseurs grâce à des questionnaires structurés, une notation des risques en temps réel, un suivi de la chaîne des sous-traitants ultérieurs et une gestion des mesures correctives — le tout hébergé sur une infrastructure suisse et soumis à la loi suisse sur la protection des données.

Comparatif : approches d'évaluation des risques fournisseurs

CapacitéModèle de tableurOutil GRC génériquePlateforme Priverion
Couverture de l'article 28 du RGPDPartielle — cartographie manuelleVarie selon la configurationComplète — les 10 dispositions pré-cartographiées
Analyse d'impact des transferts (TIA)Non incluseModule complémentaireIntégrée, alignée sur le CEPD
Cartographie de la chaîne des sous-traitants ultérieursSuivi manuelVisibilité limitéeCartographie multiniveau automatisée
Notation des risquesFormules manuellesConfigurableNotation pondérée automatisée
Piste d'auditAucuneJournalisation de baseHistorique complet des versions par fournisseur
Résidence des donnéesFichiers locauxGénéralement hébergées aux États-UnisInfrastructure hébergée en Suisse
Visibilité inter-entitésFichiers séparés par entitéLicence par moduleTableau de bord unifié à l'échelle du groupe
Temps nécessaire par fournisseurPlus de 8 heures (analyse comparative Priverion)4 à 6 heuresMoins de 2 heures