Modèle de questionnaire sous-traitants RGPD (2026)

L’essentiel. L’article 28 du RGPD impose au responsable de traitement de ne recourir qu’à des sous-traitants présentant des garanties suffisantes de conformité. La due diligence est une obligation continue et documentée. Ce guide propose un questionnaire de 40 questions structurées en 8 thématiques, à adresser à chaque sous-traitant avant contractualisation et à actualiser périodiquement.

L’évaluation des sous-traitants est l’une des tâches les plus chronophages du DPO. Pour une organisation moyenne, le nombre de sous-traitants accédant à des données personnelles dépasse facilement la cinquantaine — hébergeurs, SaaS métier, prestataires marketing, partenaires techniques, intégrateurs. L’article 28 du RGPD impose une évaluation préalable des garanties offertes, formalisée et documentée, avec un suivi périodique des évolutions. Cette évaluation est l’un des points de contrôle systématiques de la CNIL en cas d’audit.

Ce guide fournit un questionnaire complet, prêt à être envoyé à vos sous-traitants, organisé en huit thématiques couvrant l’intégralité des exigences de l’article 28 et des bonnes pratiques sectorielles. Pour chaque thématique, le questionnaire propose une grille d’analyse permettant au DPO de qualifier les réponses et de documenter sa décision.

Cadre légal : ce qu’exige l’article 28 RGPD

L’article 28(1) du RGPD impose au responsable de traitement de ne faire « appel qu’à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée ».

Cette obligation impose une due diligence active avant l’engagement contractuel : analyse des garanties offertes, évaluation au regard du risque associé au traitement, documentation de la décision. L’article 28(3) ajoute que la relation doit être encadrée par un contrat écrit couvrant huit obligations spécifiques (instructions, confidentialité, sécurité, sous-sous-traitance, droits des personnes, articles 32-36, fin de prestation, audit).

La due diligence ne se limite pas à la signature du DPA. Elle se poursuit pendant toute la relation contractuelle : suivi des évolutions des garanties, des incidents, des sous-sous-traitants, des certifications.

Procédure d’évaluation et timing

Phase 1 — Évaluation initiale (avant signature)

• Envoi du questionnaire au sous-traitant pressenti
• Analyse des réponses par le DPO ou le responsable conformité
• Demande de pièces justificatives (DPA, certificats, rapports SOC, etc.)
• Décision documentée : approbation, demande de garanties complémentaires, refus

Phase 2 — Contractualisation

• Signature du DPA conforme à l’article 28(3)
• Annexes : liste des sous-sous-traitants, mesures de sécurité, instructions documentées
• Inscription du sous-traitant au registre des traitements

Phase 3 — Suivi périodique

• Revue annuelle du questionnaire pour les sous-traitants critiques
• Revue tous les 2-3 ans pour les sous-traitants standards
• Mise à jour à chaque évolution significative (acquisition, changement de juridiction, nouvelles certifications)

Le questionnaire — 40 questions en 8 thématiques

Thématique 1 — Identification et contexte juridique

1. Quelle est la dénomination sociale exacte de l’entité avec laquelle le contrat sera conclu (nom, forme juridique, numéro d’enregistrement) ?
2. Quel est le siège social de l’entité contractante et la juridiction applicable au contrat ?
3. Le groupe auquel appartient le sous-traitant comprend-il des entités hors UE susceptibles d’accéder aux données ? Si oui, lesquelles et dans quel cadre ?
4. Le sous-traitant est-il assujetti à une législation extra-territoriale susceptible de l’obliger à divulguer des données (Cloud Act, FISA, etc.) ?
5. Le sous-traitant dispose-t-il d’un DPO ou d’un représentant en UE désigné au sens de l’article 27 RGPD ?

Grille d’analyse : une entité européenne avec siège dans l’UE est structurellement plus simple à intégrer. Une entité non-UE impose une analyse des mécanismes de transfert (DPF, CCT 2021/914) et de la juridiction extra-territoriale. La désignation d’un DPO ou d’un représentant UE est obligatoire pour la plupart des sous-traitants traitant des données de résidents UE.

Thématique 2 — Périmètre et nature du traitement

6. Quelles catégories de données personnelles seront traitées dans le cadre de la prestation ?
7. Quelles catégories de personnes concernées sont impliquées (clients, prospects, salariés, candidats, mineurs, autres) ?
8. Y aura-t-il traitement de données sensibles au sens de l’article 9 ou de données d’infraction (article 10) ?
9. Le sous-traitant interviendra-t-il dans des décisions automatisées au sens de l’article 22 ?
10. Quelle est la durée de conservation des données par le sous-traitant et selon quels critères ?

Grille d’analyse : le traitement de données sensibles ou de données d’infraction impose un niveau de garantie renforcé et déclenche généralement l’obligation d’AIPD. Les durées de conservation doivent être cohérentes avec les finalités et alignées sur les obligations légales applicables.

Thématique 3 — Sécurité technique (Art. 32 RGPD)

11. Quelles mesures de sécurité techniques sont mises en œuvre (chiffrement au repos et en transit, authentification, pare-feu, segmentation réseau) ?
12. Quels mécanismes d’authentification sont disponibles pour les accès aux données (SSO, MFA obligatoire, gestion des sessions) ?
13. Le sous-traitant dispose-t-il de certifications de sécurité (SOC 2 Type II, ISO 27001, ISO 27018, HDS le cas échéant) ? Préciser la date du dernier audit et la portée.
14. Quelle est la politique de gestion des vulnérabilités (tests d’intrusion, programme bug bounty, mises à jour) ?
15. Quels sont les engagements de disponibilité et de continuité d’activité (SLA, RPO, RTO, plan de reprise) ?

Grille d’analyse : les certifications reconnues (SOC 2 Type II, ISO 27001) constituent une présomption de conformité opérationnelle. L’absence de certifications n’est pas rédhibitoire mais impose un audit plus approfondi. Le chiffrement au repos et en transit est un minimum non négociable.

Thématique 4 — Sécurité organisationnelle

16. Quelle est la politique de gestion des accès des collaborateurs aux données client (besoin d’en connaître, revue périodique) ?
17. Quels sont les engagements de confidentialité des collaborateurs (NDA, formation initiale, formation périodique) ?
18. Comment sont gérés les départs de collaborateurs (révocation immédiate des accès, audit des actions passées) ?
19. Existe-t-il une politique formelle de sécurité de l’information signée par la direction ?
20. Un RSSI ou équivalent est-il désigné ? Préciser ses coordonnées.

Grille d’analyse : les mesures organisationnelles complètent les mesures techniques. L’absence de RSSI désigné est un signal d’alerte pour les sous-traitants traitant des données significatives. La formation périodique des collaborateurs est attendue.

Thématique 5 — Localisation et transferts

21. Où sont hébergées les données client (pays, région, infrastructure) ?
22. Si l’infrastructure est en dehors de l’UE, sur quel fondement juridique reposent les transferts (DPF, CCT 2021/914, BCR, dérogations Art. 49) ?
23. Quels personnels accèdent aux données et depuis quelles localisations géographiques ?
24. Existe-t-il une option de résidence européenne des données ? Préciser le périmètre et le coût.
25. En cas d’évolution réglementaire (invalidation du DPF, nouvelle décision CJUE), quelles mesures de continuité sont prévues ?

Grille d’analyse : l’hébergement dans l’UE est structurellement plus simple. Hors UE, la chaîne juridique de transfert doit être documentée et stabilisée. La résilience à une éventuelle invalidation du DPF est un sujet à anticiper pour les sous-traitants américains majeurs.

Thématique 6 — Sous-sous-traitance

26. Le sous-traitant fait-il appel à des sous-sous-traitants ayant accès aux données client ? Si oui, fournir la liste complète.
27. Comment les sous-sous-traitants sont-ils évalués (due diligence, contractualisation, audit) ?
28. Comment les évolutions de la liste de sous-sous-traitants sont-elles notifiées au client (préavis, possibilité d’objection) ?
29. Les obligations imposées par le DPA principal sont-elles répercutées contractuellement aux sous-sous-traitants ?
30. Existe-t-il des sous-sous-traitants hors UE ? Si oui, préciser le fondement juridique des transferts.

Grille d’analyse : la transparence sur la chaîne de sous-sous-traitance est obligatoire (Art. 28(2)). La répercussion contractuelle des obligations est exigée (Art. 28(4)). L’absence de liste claire ou la résistance à la fournir est un signal d’alerte fort.

Thématique 7 — Droits des personnes et incidents

31. Quels mécanismes sont en place pour faciliter l’exercice des droits des personnes (accès, rectification, effacement, portabilité, opposition) ?
32. Existe-t-il une API ou interface permettant à votre organisation de répondre directement aux demandes ?
33. Quel est le délai d’engagement pour notifier une violation de données au client (objectif : < 24h, maximum 48h pour permettre la notification CNIL sous 72h) ?
34. Quel est le contenu type d’une notification de violation par le sous-traitant ?
35. Quelle est la procédure de gestion des demandes émanant directement de personnes concernées (transmission au client, traitement direct) ?

Grille d’analyse : la rapidité de notification est critique. Un sous-traitant s’engageant sur 72h ne laisse aucune marge au responsable de traitement pour notifier la CNIL. Un engagement à 24h est attendu pour les sous-traitants critiques.

Thématique 8 — Fin de prestation et audit

36. Quelle est la procédure de restitution ou de suppression des données en fin de contrat ?
37. Quel est le délai d’exécution de la suppression (objectif : moins de 30 jours, certificat de suppression fourni) ?
38. Quels droits d’audit sont prévus au contrat (audit sur site, audit documentaire, audit par tiers, fréquence) ?
39. Le sous-traitant accepte-t-il les audits demandés par la CNIL ou les autorités de contrôle compétentes ?
40. Quelles sont les modalités de transition vers un autre sous-traitant le cas échéant (export des données, formats, délai) ?

Grille d’analyse : un droit d’audit symbolique uniquement (rapports de conformité fournis sans possibilité d’audit complémentaire) est acceptable pour les sous-traitants standards mais doit être renforcé pour les traitements sensibles. La suppression effective en moins de 30 jours est attendue.

Modèle de fiche d’évaluation

Pour chaque sous-traitant évalué, le DPO compile une fiche structurée à conserver au dossier :

Sous-traitant : [dénomination] Date d’évaluation : [date] Périmètre du traitement : [résumé] Niveau de risque associé : [faible / modéré / élevé] Catégories de données : [liste] Catégories de personnes : [liste] Données sensibles ou Art. 10 : [oui/non]

Localisation des données : [pays/région] Fondement des transferts hors UE : [DPF / CCT / BCR / aucun]

Certifications produites : [SOC 2, ISO 27001, etc.] Liste des sous-sous-traitants vérifiée : [oui/non] DPA signé : [date]

Délai d’engagement notification violation : [heures] Modalités d’audit : [résumé]

Évaluation globale : [conforme / conforme sous réserve / non conforme] Réserves et conditions : [détailler le cas échéant] Date de revue prévue : [date] DPO évaluateur : [signature]

Cas particuliers selon le profil de sous-traitant

Hébergeurs cloud (AWS, Azure, GCP, OVH, Scaleway)

Pour les grands fournisseurs cloud, le questionnaire prend la forme d’une revue des engagements publiés (DPA, EU Data Boundary, certifications). L’audit individuel n’est pas réaliste — la confiance repose sur les certifications de l’industrie. Voir nos analyses AWS RGPD et Azure RGPD.

SaaS B2B (CRM, marketing, support)

Le questionnaire complet est applicable. Voir nos analyses sectorielles HubSpot RGPD, Salesforce RGPD, Intercom RGPD.

Prestataires de services humains (consultants, agences, freelances)

Le questionnaire doit être adapté — l’évaluation porte autant sur les pratiques individuelles que sur les infrastructures. La formation RGPD du prestataire, la sécurité de son poste de travail, et les modalités d’échange de fichiers sont centrales.

Sous-traitants accédant à des données sensibles

Pour les traitements relevant de l’article 9 RGPD (santé, données sensibles), des obligations renforcées s’appliquent : certifications sectorielles (HDS pour la santé), AIPD systématique, audit régulier renforcé, restrictions de localisation strictes.

Erreurs fréquentes sanctionnées par la CNIL

Cinq manquements récurrents au regard de l’article 28 :

1. Absence de DPA signé avec un sous-traitant accédant à des données personnelles
2. DPA non conforme à l’article 28(3) (clauses manquantes)
3. Absence d’évaluation des garanties avant contractualisation
4. Pas de suivi des évolutions de la chaîne de sous-sous-traitance
5. Audits non réalisés alors que prévus contractuellement

Ces manquements relèvent du plafond haut de l’article 83(4)(a) : jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial. Sanctions cumulables avec celles pour les manquements substantiels résultant de la défaillance du sous-traitant.

FAQ : questionnaire sous-traitants RGPD

À quelle fréquence faut-il actualiser l’évaluation ?

Annuellement pour les sous-traitants critiques (hébergeurs, SaaS centraux, prestataires sur données sensibles). Tous les 2-3 ans pour les sous-traitants standards. Immédiatement en cas d’évolution significative (acquisition, changement de juridiction, changement majeur de sous-sous-traitance).

Le sous-traitant peut-il refuser de répondre au questionnaire ?

Un sous-traitant standard ne peut pas refuser de communiquer les informations nécessaires à votre conformité — l’article 28(3)(h) impose explicitement de « mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect des obligations ». Un refus est un signal d’alerte fort et peut justifier la non-contractualisation ou la rupture du contrat.

Faut-il un questionnaire distinct par traitement ?

Pas nécessairement. Un même sous-traitant intervenant sur plusieurs traitements peut faire l’objet d’une évaluation globale, complétée d’une fiche spécifique par traitement précisant les particularités (catégories de données, sensibilité, durée).

Comment industrialiser cette évaluation pour 50+ sous-traitants ?

Trois leviers : structuration du questionnaire en formulaire numérique (Typeform, Google Forms ou outil dédié), classification des sous-traitants par criticité (revue exhaustive uniquement pour les critiques), automatisation du suivi des évolutions (alertes sur changements DPA, certifications expirantes).

Un audit externe peut-il remplacer le questionnaire ?

Un rapport SOC 2 Type II ou ISO 27001 récent peut couvrir une partie des thématiques (sécurité technique et organisationnelle notamment). Il ne dispense pas du questionnaire sur les éléments spécifiques au RGPD : sous-sous-traitance, droits des personnes, transferts, délais de notification.

Comment intégrer cette évaluation au registre des traitements ?

Chaque traitement inscrit au registre doit mentionner les sous-traitants impliqués, leur statut d’évaluation, leur niveau de garantie, et la date de revue. Un logiciel RGPD industrialise cette intégration : un sous-traitant évalué une fois est référençable depuis tous les traitements concernés, avec alertes de revue automatisées.