[Tribune] L'impact du RGPD sur le métier des acheteurs - un nouveau risque à intégrer dans le process achat

L'entrée en vigueur du règlement européen sur la protection des données personnelles (RGPD), le 25 mai 2018, aura un impact significatif sur le métier des acheteurs. Du fait de son rôle central dans le process de contractualisation et dans la gestion des relations avec les fournisseurs, l'acheteur va être confronté à certaines problématiques issues de l'application du RGPD et va devenir fortement impliqués dans le contrôle de conformité des pratiques de son entreprise.

Pourquoi ?

Dès lors qu'un projet ou une prestation implique un traitement de données personnelles, le RGPD s'applique avec des conséquences importantes sur la relation donneur d'ordre/fournisseur.

Qu'il s'agisse d'une infogérance, d'un projet de mise en oeuvre d'un CRM, d'un SI achat ou encore d'une solution de paye en ligne, le choix du fournisseur et la conformité des documents contractuels vont dépendre de la capacité de ce dernier à présenter des garanties suffisantes pour répondre aux exigences du RGPD en matière de protection des données personnelles.

Comment traiter la problématique des données personnelles dans les achats ?

L'acheteur devra donc être en mesure d'identifier en amont si l'achat de prestations concerné implique ou non l'accès et/ou le traitement de données personnelles par le fournisseur qui sera sélectionné.

Si le fournisseur n'a pas vocation à traiter des données personnelles ou s'il ne fait que y accéder, il n'aura pas à remplir toutes les obligations du sous-traitant au sens du RGPD et l'acheteur devra simplement veiller à la prise en compte des enjeux de confidentialité et de sécurité lié à l'accès et à la consultation des données.

Si le fournisseur a vocation à traiter des données personnelles pour le compte du donneur d'ordre, il sera considéré comme un sous-traitant au sens du RGPD, qualité impliquant le respect d'exigences de conformité dont la contractualisation de certaines obligations.

Comment anticiper les risques de non-conformité au RGPD ?

En amont de la contractualisation, si la prestation envisagée est susceptible de présenter un risque en matière de protection des données personnelles, l'acheteur devra alerter son donneur d'ordre interne sur la nécessité de réaliser une analyse d'impact relative à la protection des données, voire de consulter préalablement la CNIL en cas de risque élevé.

En pratique, si la prestation envisagée implique l'accès et/ou le traitement de données personnelles par un fournisseur, l'acheteur sera confronté à trois types de situation:

- La première, la plus courante, est le cas d'un fournisseur n'ayant qu'un accès aux données personnelles et n'ayant pas vocation à traiter des données personnelles pour le compte de l'entreprise, comme c'est le cas pour des prestations de conseil, de développement ou encore de maintenance.

- La deuxième, la plus simple, est le cas d'un fournisseur responsable de l'hébergement ou l'infogérance d'un système d'information. Cet hébergeur ou infogérant, ayant la qualité de sous-traitant au sens du RGPD, la contractualisation ne peut se faire sans avoir préalablement pris en compte les enjeux de confidentialité, de sécurité et de conformité au RGPD.

- La troisième, la plus actuelle, est le cas d'un fournisseur traitant des données personnelles dans le cadre de son service (généralement proposé en mode SaaS). Si cette situation est comparable à la précédente, elle présente toutefois une spécificité notable liée au fait que le fournisseur n'assure pas l'hébergement des données personnelles mais le sous-traite à un hébergeur. Il convient alors de s'assurer que ce sous-traitant de "second rang" présente lui aussi les garanties nécessaires pour respecter les exigences du RGPD en matière de protection des données personnelles.