Lorsque vous répondez à un appel d’offres UGAP, le questionnaire RGPD n’est pas une case à cocher parmi d’autres. C’est un filtre éliminatoire que de nombreuses PME sous-estiment, parfois jusqu’à voir leur dossier écarté malgré une offre techniquement solide.
L’UGAP n’est pas un simple acheteur public. En tant que centrale d’achat nationale, elle fournit des milliers de collectivités, d’établissements hospitaliers et d’administrations d’État. Elle engage donc sa propre responsabilité juridique sur chaque fournisseur référencé. Quand elle vous soumet un questionnaire RGPD, elle cherche à vérifier que vous ne constituerez pas un risque pour ses clients. Une réponse vague, copiée d’un modèle générique ou incomplète sur les sous-traitants et les transferts hors Union européenne, envoie un signal immédiat : vous n’avez pas traité le sujet sérieusement.
Ce guide est construit à partir d’une expérience concrète. AO Conquete a accompagné Dronotec, une TPE de Maisons-Alfort, dans sa réponse au lot 9 du marché UGAP n°417093. Résultat : rang 1, contrat de 48 mois pour un volume de 4 millions d’euros. Le questionnaire RGPD de ce marché couvrait 27 points distincts, parmi lesquels la politique de sécurité des systèmes d’information, la gestion des incidents, le registre des traitements, les analyses d’impact, le statut du DPO, le chiffrement, les sauvegardes ou encore les procédures de notification à la CNIL. Chacun de ces points a reçu une réponse documentée, précise et vérifiable, pas une déclaration d’intention.
Ce guide vous propose une lecture catégorie par catégorie du questionnaire RGPD UGAP. Pour chaque thématique, vous trouverez les erreurs les plus fréquemment commises par les candidats, ainsi que les éléments concrets qui distinguent une réponse convaincante d’une réponse générique. L’objectif est simple : vous permettre d’aborder cette partie du dossier avec la même rigueur que votre mémoire technique, car c’est précisément ce niveau d’exigence que l’UGAP attend de ses fournisseurs.
Pourquoi l’UGAP exige-t-elle un questionnaire RGPD ?
L’UGAP n’est pas un acheteur ordinaire. Elle achète et revend pour le compte de 26 000 clients publics, ce qui lui confère une responsabilité directe sur la chaîne de sous-traitance de ses fournisseurs. Le questionnaire RGPD est l’outil par lequel elle vérifie que vous ne représentez pas un risque systémique pour l’ensemble de ses clients.
Pour comprendre pourquoi ce questionnaire occupe une place croissante dans les dossiers de candidature UGAP, il faut partir d’un constat simple : lorsqu’un acheteur public passe commande via l’UGAP, ses données transitent par les systèmes du fournisseur retenu. L’UGAP devient alors, de fait, responsable du choix qu’elle a opéré. Si ce fournisseur subit une violation de données, si ses prestataires hébergent des informations hors Union européenne sans garanties adéquates, ou si son organisation ne dispose d’aucune procédure formalisée en cas d’incident, c’est l’ensemble de la chaîne qui est exposée, y compris les 26 000 clients publics que l’UGAP sert quotidiennement.
Le cadre réglementaire renforce cette logique. Le RGPD impose depuis 2018 une responsabilité sur l’ensemble de la chaîne de traitement, et non plus seulement sur le responsable du traitement initial. La directive NIS2, dont la transposition en droit français est en cours, étend cette exigence aux fournisseurs de services numériques et à leurs sous-traitants. L’UGAP, en tant que centrale d’achat nationale, ne peut pas se permettre de référencer des fournisseurs dont la maturité numérique serait insuffisante au regard de ces obligations. Le questionnaire RGPD est précisément l’instrument de cette due diligence.
Ce point mérite d’être souligné avec attention : le questionnaire que vous recevrez n’est pas un formulaire standardisé applicable à tous les lots. Il est calibré en fonction du périmètre du marché concerné et des données susceptibles d’être traitées dans ce cadre. Un lot portant sur des prestations de drone implique des enjeux distincts d’un lot portant sur des logiciels de gestion des ressources humaines. La CNIL rappelle d’ailleurs que l’analyse des risques doit toujours être proportionnée à la nature des données traitées et au contexte opérationnel.
C’est précisément pour cette raison qu’une réponse copiée sur un modèle générique est immédiatement identifiable. Les évaluateurs de l’UGAP savent distinguer une politique de sécurité des systèmes d’information rédigée pour l’occasion d’une PSSI effective, un registre des traitements mis à jour régulièrement d’un document créé la veille du dépôt, ou encore une procédure de notification à la CNIL formalisée d’une simple promesse de réactivité. Chaque point du questionnaire appelle une réponse documentée, vérifiable et cohérente avec le reste de votre dossier.
Que couvrent les 27 points du questionnaire RGPD UGAP ?
Le questionnaire RGPD de l’UGAP s’articule autour de 27 points de contrôle répartis en six domaines distincts. Chaque domaine correspond à une exigence précise du RGPD et du référentiel de sécurité applicable aux marchés publics numériques. Comprendre cette architecture vous permet d’anticiper les attentes des évaluateurs et de structurer votre réponse avec méthode.
La tentation, pour une PME ou une TPE qui découvre ce questionnaire pour la première fois, est d’y répondre point par point sans vision d’ensemble. C’est une erreur stratégique. Les 27 points ne sont pas indépendants les uns des autres : ils forment un système cohérent dans lequel chaque réponse doit pouvoir être mise en regard des autres. Un DPO désigné sans procédure de gestion des incidents formalisée, ou un registre des traitements exhaustif sans politique de chiffrement documentée, constituent des incohérences que les évaluateurs relèveront immédiatement.
L’expérience de Dronotec, TPE de Maisons-Alfort ayant remporté le lot 9 du marché UGAP n°417093 au rang 1, pour un volume de quatre millions d’euros sur 48 mois, illustre précisément ce principe. La couverture complète des 27 points n’a pas été le résultat d’une mise en conformité de façade, mais d’une structuration documentaire rigoureuse et cohérente sur l’ensemble des domaines. Vous pouvez consulter le détail de cette réussite dans notre section nos preuves de réussite ainsi que dans l’article dédié au marché UGAP drones remporté par Dronotec.
Voici la décomposition des six domaines qui structurent ces 27 points.
Politique de sécurité des systèmes d’information
Ce premier domaine porte sur l’existence et la formalisation de votre politique de sécurité des systèmes d’information, communément désignée sous le terme PSSI. L’UGAP attend que cette politique soit un document réel, daté, versé en annexe de votre réponse, et non une simple déclaration d’intention. Elle doit couvrir les responsabilités internes, les règles d’accès aux systèmes, les modalités de mise à jour et, de manière déterminante, les actions de sensibilisation conduites auprès de vos équipes. Cette sensibilisation doit être tracée : supports de formation, fréquence des sessions, liste des personnels concernés. Un évaluateur qui ne trouve pas cette trace considérera que la sensibilisation n’a pas eu lieu.
Gestion des incidents et notification
L’UGAP vérifie ici que vous disposez d’une procédure formalisée de détection et de qualification des incidents de sécurité. Le point central est le respect du délai de 72 heures imposé par le RGPD pour la notification à la CNIL en cas de violation de données à caractère personnel. Ce délai court à compter du moment où vous avez connaissance de l’incident, et non à compter de sa résolution. Votre procédure doit donc désigner clairement les personnes responsables de cette notification, les critères de qualification d’un incident comme violation de données, et les canaux de communication internes activés dans ce délai. Le plan de continuité d’activité, ou PCA, est également attendu à ce stade : il démontre votre capacité à maintenir le service et à protéger les données en situation dégradée.
Registre des traitements et analyse d’impact
Le registre des traitements visé par l’article 30 du RGPD est l’un des documents les plus scrutés par les évaluateurs. Il doit recenser l’ensemble des traitements de données à caractère personnel que votre activité génère, avec pour chacun la base légale, les catégories de données concernées, les durées de conservation, les destinataires et les mesures de sécurité associées. L’UGAP attend également que vous ayez conduit une analyse d’impact relative à la protection des données, ou AIPD, pour les traitements présentant un risque élevé. Cette AIPD doit être proportionnée à la nature du marché : pour un lot portant sur des prestations de drone, les données de géolocalisation, les images captées et les données d’identification des opérateurs doivent faire l’objet d’une analyse spécifique.
Sous-traitants et transferts hors Union européenne
Ce domaine exige que vous disposiez d’une cartographie complète de vos sous-traitants qui interviennent dans le cadre du traitement de données à caractère personnel. Chaque sous-traitant doit avoir signé un contrat comportant les clauses obligatoires prévues à l’article 28 du RGPD. Si certains de vos sous-traitants sont établis en dehors de l’Union européenne, ou si des données sont hébergées sur des serveurs situés hors de l’EEE, vous devez justifier des mécanismes de transfert mis en place : clauses contractuelles types, décision d’adéquation ou garanties appropriées. L’UGAP peut vous demander de fournir cette liste à tout moment durant l’exécution du marché. Votre cartographie doit donc être tenue à jour.
DPO, chiffrement et sauvegardes
L’UGAP vérifie que vous avez désigné un délégué à la protection des données, ou DPO, lorsque cette désignation est obligatoire au regard de votre activité. Même lorsqu’elle n’est pas obligatoire, la désignation volontaire d’un DPO est perçue comme un signal positif de maturité. Sur le plan technique, les évaluateurs attendent une documentation du chiffrement des données au repos et en transit, avec précision des protocoles utilisés. Enfin, votre politique de sauvegardes doit être décrite avec rigueur : fréquence, supports, localisation des sauvegardes, et surtout preuve que des tests de restauration sont conduits régulièrement. Une sauvegarde dont la restauration n’a jamais été testée n’offre aucune garantie réelle.
Droits des personnes
Le dernier domaine porte sur la capacité de votre organisation à répondre aux demandes d’exercice des droits des personnes concernées : droit d’accès, de rectification, d’effacement, de limitation et d’opposition. Vous devez disposer de procédures internes formalisées permettant de traiter ces demandes dans le délai d’un mois imposé par le RGPD. Un point de contact dédié doit être identifié, que ce soit une adresse électronique spécifique ou un formulaire en ligne. L’UGAP attend que ce dispositif soit opérationnel dès la notification du marché, et non en cours de construction. Les clients de l’UGAP, collectivités territoriales et établissements publics en tête, seront particulièrement attentifs à ce point lors de l’exécution des prestations.
Pour aller plus loin sur la structuration de votre candidature auprès de l’UGAP, vous pouvez consulter notre guide pour devenir fournisseur UGAP ainsi que notre dossier complet sur l’UGAP.
Quelles erreurs font perdre des points sur le volet RGPD ?
Le questionnaire RGPD de l’UGAP est noté, et chaque point non documenté se traduit par une perte sèche de score. Les erreurs les plus fréquentes ne relèvent pas d’un manque de conformité réelle, mais d’une incapacité à démontrer cette conformité de façon structurée et vérifiable. Voici les cinq écueils qui coûtent le plus cher.
1. Des réponses génériques copiées-collées
C’est l’erreur la plus répandue et la plus sanctionnée. Remplir le questionnaire avec des formulations issues d’un modèle standard, sans les ancrer dans la réalité opérationnelle de votre entreprise, est immédiatement perçu par les évaluateurs. L’UGAP ne cherche pas à savoir si vous connaissez le RGPD en théorie. Elle cherche à vérifier que vos dispositifs existent, qu’ils sont activés et qu’ils correspondent à votre activité réelle. Une réponse générique sur la gestion des incidents de sécurité, par exemple, qui ne mentionne ni vos outils, ni vos délais internes, ni vos interlocuteurs, ne vaut rien sur le plan probatoire. Les évaluateurs lisent des dizaines de dossiers : le caractère générique saute aux yeux en quelques secondes.
2. L’absence de DPO désigné ou de référent identifiable
Si votre organisation n’a pas désigné de Délégué à la Protection des Données, elle doit a minima disposer d’un référent interne clairement identifié, dont le rôle est formalisé. Laisser cette case vide ou indiquer que le DPO est « en cours de désignation » envoie un signal négatif immédiat. L’UGAP s’appuie sur ce point pour évaluer la maturité de votre gouvernance. L’absence de DPO désigné et notifié à la CNIL, lorsque cette désignation est obligatoire, constitue en outre un manquement réglementaire que vous ne pouvez pas vous permettre d’exposer dans un dossier de candidature.
3. Un registre des traitements absent ou non tenu à jour
Le registre des traitements est le document socle de toute démarche RGPD sérieuse. Son absence est éliminatoire en termes de signal. Sa présence seule ne suffit pas : il doit être à jour, refléter les traitements réellement conduits dans le cadre des prestations visées par le marché, et mentionner les bases légales, les durées de conservation et les destinataires des données. Un registre daté de trois ans, figé depuis sa création initiale, démontre exactement l’inverse de ce que vous cherchez à prouver : il atteste d’une conformité de façade, non d’une conformité vécue.
4. Des sous-traitants non cartographiés
Dès lors que vous faites appel à des prestataires tiers qui traitent des données à caractère personnel dans le cadre de votre activité — hébergeur, éditeur logiciel, prestataire de maintenance, partenaire technique —, vous devez être en mesure de les lister, de préciser leur rôle, de confirmer l’existence de clauses contractuelles conformes à l’article 28 du RGPD, et d’indiquer si des transferts hors Union européenne sont en jeu. Ne pas avoir cartographié ses sous-traitants revient à admettre que vous ignorez où circulent les données que vous traitez. Pour l’UGAP et ses clients, cette lacune est rédhibitoire.
5. Aucune preuve de mise en oeuvre concrète
La cinquième erreur est peut-être la plus coûteuse, parce qu’elle annule l’effet de toutes vos autres réponses : répondre correctement au questionnaire sans fournir de pièces justificatives. L’UGAP attend des preuves opérationnelles : politiques de sécurité des systèmes d’information datées et signées, rapports de tests de restauration, procédures de gestion des incidents formalisées, contrats de sous-traitance conformes, compte-rendu d’Analyse d’Impact relative à la Protection des Données. Un questionnaire bien rempli sans aucun document annexé reste une déclaration d’intention, non une démonstration de conformité.
Lors de l’accompagnement de Dronotec sur le lot 9 du marché UGAP n° 417093 — remporté au rang 1 pour 48 mois et 4 millions d’euros —, AO Conquête a structuré l’intégralité des 27 points du volet RGPD avec des preuves opérationnelles pour chaque item : PSSI, registre des traitements, AIPD, gestion des incidents, cartographie des sous-traitants et transferts hors UE, droits des personnes, chiffrement, sauvegardes. Aucun point n’a été laissé à l’état déclaratif. Ce niveau de documentation n’est pas le fruit du hasard : il résulte d’un audit complet, conduit en amont du dépôt, qui transforme chaque exigence du questionnaire en pièce vérifiable. Pour consulter le détail de cet accompagnement, rendez-vous sur notre page dédiée au cas Dronotec.
Comment structurer vos réponses pour maximiser votre note RGPD ?
Le questionnaire RGPD de l’UGAP ne récompense pas la bonne volonté : il évalue la rigueur de votre organisation. Une réponse bien construite suit une logique précise — cartographie, preuves, adaptation au lot, relecture externe — que vous devez maîtriser avant de rédiger la moindre ligne.
Obtenir une note élevée sur le volet RGPD d’un marché UGAP ne relève pas d’un exercice de style. Chaque question appelle une réponse structurée, étayée par des documents existants et calibrée sur le périmètre exact du lot visé. Les évaluateurs de l’UGAP lisent des dizaines de dossiers : une réponse générique, non documentée ou déconnectée du contexte opérationnel se détecte immédiatement et pénalise votre notation. À l’inverse, une réponse qui articule une affirmation précise avec une preuve datée et un outil nommé crédibilise l’ensemble de votre offre technique. La méthode présentée ci-dessous est celle qu’AO Conquête applique systématiquement avec les PME qu’elle accompagne sur les marchés UGAP. Elle repose sur quatre étapes séquentielles, chacune indispensable à la suivante.
1. Cartographier avant de rédiger
Avant d’ouvrir le questionnaire, recensez l’intégralité des traitements de données personnelles que votre activité implique dans le cadre du lot concerné. Identifiez vos sous-traitants techniques, vos éventuels transferts hors Union européenne et les catégories de données traitées pour le compte des clients UGAP. Cette cartographie préalable est le socle sur lequel repose chacune de vos réponses. Sans elle, vous risquez des incohérences entre vos déclarations et la réalité de vos pratiques, ce qui fragilise l’ensemble du dossier.
2. Documenter avec des preuves
Chaque affirmation doit être adossée à une pièce vérifiable. Nommez les outils que vous utilisez — solution de chiffrement, logiciel de gestion du registre des traitements, plateforme de sauvegarde —, citez les documents qui formalisent vos procédures et indiquez leur date de mise à jour. Une politique de sécurité des systèmes d’information non datée ou un registre des traitements sans version récente affaiblissent votre crédibilité au même titre que l’absence de document. L’UGAP évalue la cohérence entre ce que vous déclarez et ce que vous annexez.
3. Adapter au périmètre du lot
Ne réutilisez pas une réponse générique d’un dossier précédent. Lisez le cahier des clauses techniques particulières du lot visé, identifiez les données personnelles spécifiquement concernées — données d’agents publics, données de géolocalisation, données sensibles — et calibrez vos réponses en conséquence. Une réponse pertinente pour un lot logiciel RH ne l’est pas nécessairement pour un lot matériel ou pour un lot impliquant des transferts de données à caractère opérationnel. L’évaluateur perçoit immédiatement le manque d’adaptation au contexte.
4. Faire relire par un regard externe
Une fois votre questionnaire rédigé et vos pièces rassemblées, soumettez l’ensemble à une relecture critique : délégué à la protection des données, juriste spécialisé ou conseil externe. Ce regard extérieur détecte les incohérences internes, les affirmations non étayées et les points que vous auriez traités de manière insuffisante. La CNIL publie des référentiels sectoriels qui peuvent également servir de grille de vérification avant dépôt. Cette étape est souvent négligée par les PME pressées de déposer : elle peut pourtant faire basculer votre note d’un niveau à l’autre.
Cette approche en quatre étapes est exactement celle qu’AO Conquête a appliquée lors de l’accompagnement de Dronotec sur le lot 9 du marché UGAP n° 417093. Les 27 points du volet RGPD ont été traités selon cette séquence, du recensement initial des traitements jusqu’à la relecture finale du dossier, ce qui a permis à cette TPE de Maisons-Alfort de se positionner au rang 1 pour 48 mois et 4 millions d’euros. Pour comprendre comment cette méthode a été mise en oeuvre concrètement, consultez notre cas Dronotec.
Questions fréquentes sur le questionnaire RGPD UGAP
Le questionnaire RGPD est-il présent sur tous les lots UGAP ?
Non, il ne concerne pas l’ensemble des lots. Vous le rencontrerez principalement sur les lots à dimension numérique, logicielle ou impliquant des traitements de données personnelles. Les lots purement matériels, sans composante logicielle ni collecte de données, font l’objet d’exigences RGPD allégées ou absentes. Vérifiez systématiquement le règlement de consultation avant de préparer votre réponse.
Faut-il obligatoirement un DPO pour répondre ?
La désignation d’un délégué à la protection des données n’est pas une condition éliminatoire, mais son absence fragilise votre dossier. L’UGAP valorise la présence d’un interlocuteur identifié sur les questions de conformité. Pour une TPE ou une PME, le recours à un DPO externe mutualisé constitue une réponse crédible et proportionnée, à condition de formaliser la mission par un contrat explicite.
Quelle est l’incidence d’une mauvaise réponse sur le classement ?
Chaque point RGPD non traité ou traité de manière insuffisante se traduit par une perte de points sur la note technique. Sur un marché UGAP compétitif, l’écart entre le rang 1 et le rang 2 peut tenir à quelques points. Une réponse imprécise ou non étayée par des pièces justificatives peut faire basculer votre classement, y compris si votre offre est par ailleurs bien positionnée sur le prix.
Le questionnaire est-il identique sur plusieurs lots ?
Il existe une base commune de questions, mais le périmètre attendu diffère selon la nature des traitements associés à chaque lot. Un lot impliquant des transferts de données hors Union européenne appelle des développements spécifiques que n’exige pas un lot sans flux sortants. Réutiliser une réponse générique sans l’adapter au contexte du lot que vous visez constitue une erreur fréquente et pénalisante.
Combien de temps faut-il prévoir pour préparer le volet RGPD ?
Comptez entre deux et quatre semaines si votre gouvernance est déjà en place : registre des traitements tenu à jour, PSSI documentée, procédures de gestion des incidents formalisées. Si ces éléments sont absents ou partiels, il faut d’abord les constituer, ce qui allonge sensiblement le délai. Anticiper la préparation dès la publication de l’appel d’offres reste la meilleure garantie de qualité.
Une TPE peut-elle répondre sérieusement au questionnaire RGPD UGAP ?
Oui, à condition de traiter chaque point avec rigueur et de fournir des preuves documentées. Dronotec, TPE de Maisons-Alfort accompagnée par AO Conquête, a couvert les 27 points du volet RGPD du lot 9 du marché UGAP n° 417093 et s’est classée rang 1 pour 48 mois et 4 millions d’euros. La taille de la structure n’est pas un obstacle : la méthode l’est. Consultez le détail de ce résultat ainsi que l’ensemble de nos preuves de réussite.
Maîtriser le questionnaire RGPD UGAP est indissociable d’une compréhension plus large du fonctionnement de cette centrale d’achat et des exigences propres à chaque procédure. Pour approfondir ces deux dimensions, nous vous invitons à consulter notre guide complet sur l’UGAP ainsi que notre article dédié aux démarches pour devenir fournisseur UGAP. Si vous souhaitez mesurer concrètement ce qu’une préparation structurée peut produire, le cas Dronotec reste la démonstration la plus directe de ce qu’AO Conquête met en oeuvre pour ses clients PME.
À propos de l’auteur (Philippe COURTOIS)
Après une première partie de carrière dédiée au commerce et à la vente (Banque LCL, Unilever, groupe Seloger.com) je me suis spécialisé dès 2010 dans la réponse aux appels d’offres, d’abord au sein de grands groupes (Essity, Bureau Veritas, groupe Sonepar) puis en tant que Consultant Marchés Publics dans un cabinet de conseil, avant de participer enfin au lancement des marchés publics pour la Société du Grand Paris dans le cadre du plus grand projet d’infrastructure d’Europe (Grand Paris Express).
C’est fort de cette expertise concrète et issue du terrain que j’ai décidé en 2022 de lancer mon activité et d’accompagner les entreprises souhaitant augmenter leur part de marché sur le secteur public.
À propos d’AO Conquête
AO Conquête accompagne les PME souhaitant se positionner efficacement sur les marchés publics afin de gagner en croissance.
Détection des appels d’offres, analyse du dossier de consultation, construction du dossier de réponse, rédaction ou refonte de votre mémoire technique : quel que soit votre secteur d’activité, c’est toute une gamme de solutions clé-en-main que nous proposons pour accompagner votre développement commercial.