Recherche
Mag Décision Achats
S'abonner à la newsletter S'abonner au magazine

[Tribune] L'impact du RGPD sur le métier des acheteurs - un nouveau risque à intégrer dans le process achat

Publié par le | Mis à jour le
[Tribune] L'impact du RGPD sur le métier des acheteurs - un nouveau risque à intégrer dans le process achat

Le RGPD représente un nouveau risque réglementaire à intégrer dans le process achat mais aussi une nouvelle opportunité de renforcer la place de l'acheteur au coeur du process de contractualisation. Afin de gérer ce risque et tirer profit de cette opportunité, l'acheteur devra évidemment se former...

Je m'abonne
  • Imprimer

L'entrée en vigueur du règlement européen sur la protection des données personnelles (RGPD), le 25 mai 2018, aura un impact significatif sur le métier des acheteurs. Du fait de son rôle central dans le process de contractualisation et dans la gestion des relations avec les fournisseurs, l'acheteur va être confronté à certaines problématiques issues de l'application du RGPD et va devenir fortement impliqués dans le contrôle de conformité des pratiques de son entreprise.

Pourquoi ?

Dès lors qu'un projet ou une prestation implique un traitement de données personnelles, le RGPD s'applique avec des conséquences importantes sur la relation donneur d'ordre/fournisseur.

Qu'il s'agisse d'une infogérance, d'un projet de mise en oeuvre d'un CRM, d'un SI achat ou encore d'une solution de paye en ligne, le choix du fournisseur et la conformité des documents contractuels vont dépendre de la capacité de ce dernier à présenter des garanties suffisantes pour répondre aux exigences du RGPD en matière de protection des données personnelles.

Comment traiter la problématique des données personnelles dans les achats ?

L'acheteur devra donc être en mesure d'identifier en amont si l'achat de prestations concerné implique ou non l'accès et/ou le traitement de données personnelles par le fournisseur qui sera sélectionné.

Si le fournisseur n'a pas vocation à traiter des données personnelles ou s'il ne fait que y accéder, il n'aura pas à remplir toutes les obligations du sous-traitant au sens du RGPD et l'acheteur devra simplement veiller à la prise en compte des enjeux de confidentialité et de sécurité lié à l'accès et à la consultation des données.

Si le fournisseur a vocation à traiter des données personnelles pour le compte du donneur d'ordre, il sera considéré comme un sous-traitant au sens du RGPD, qualité impliquant le respect d'exigences de conformité dont la contractualisation de certaines obligations.

Comment anticiper les risques de non-conformité au RGPD ?

En amont de la contractualisation, si la prestation envisagée est susceptible de présenter un risque en matière de protection des données personnelles, l'acheteur devra alerter son donneur d'ordre interne sur la nécessité de réaliser une analyse d'impact relative à la protection des données, voire de consulter préalablement la CNIL en cas de risque élevé.

En pratique, si la prestation envisagée implique l'accès et/ou le traitement de données personnelles par un fournisseur, l'acheteur sera confronté à trois types de situation:

- La première, la plus courante, est le cas d'un fournisseur n'ayant qu'un accès aux données personnelles et n'ayant pas vocation à traiter des données personnelles pour le compte de l'entreprise, comme c'est le cas pour des prestations de conseil, de développement ou encore de maintenance.

- La deuxième, la plus simple, est le cas d'un fournisseur responsable de l'hébergement ou l'infogérance d'un système d'information. Cet hébergeur ou infogérant, ayant la qualité de sous-traitant au sens du RGPD, la contractualisation ne peut se faire sans avoir préalablement pris en compte les enjeux de confidentialité, de sécurité et de conformité au RGPD.

- La troisième, la plus actuelle, est le cas d'un fournisseur traitant des données personnelles dans le cadre de son service (généralement proposé en mode SaaS). Si cette situation est comparable à la précédente, elle présente toutefois une spécificité notable liée au fait que le fournisseur n'assure pas l'hébergement des données personnelles mais le sous-traite à un hébergeur. Il convient alors de s'assurer que ce sous-traitant de "second rang" présente lui aussi les garanties nécessaires pour respecter les exigences du RGPD en matière de protection des données personnelles.

Lire la suite en page 2 de cet article: Comment rendre conforme les contrats concernés au RGPD ? et Comment rendre conforme le process achats au RGPD ?


Comment rendre conforme les contrats concernés au RGPD ?

Qu'il s'agisse d'un hébergeur ou d'un fournisseur de service en mode SaaS, les obligations de ces sous-traitants doivent être décrites au sein d'un contrat en tenant compte notamment :

-de l'objet et la durée du traitement de données,
-de la nature et la finalité de ce traitement,
-du type de données personnelles et des catégories de personnes concernées,
-des mesures de protection des données mises en oeuvre.

En pratique, les obligations du sous-traitant au titre du RGPD seront définies à la fois au sein :

-d'une clause figurant dans le corps du contrat,
-d'une annexe juridique dédiée (souvent dénommée "Data processing Agreement")
-d'une annexe technique dédiée décrivant les mesures de sécurité conformes aux exigences du RGPD (souvent dénommée " Politique de sécurité et de protection des données personnelles ")

Pour les contrats en cours d'exécution impliquant le traitement de données personnelles, il conviendra de signer un avenant intégrant les deux annexes susvisées. Afin d'anticiper, l'acheteur doit donc dès aujourd'hui identifier tous les contrats où les prestataires ont la qualité de sous-traitants au sens du RGPD et établir un modèle d'avenant type à faire signer avant le 25 mai 2018.

Comment rendre conforme le process achats au RGPD ?

Pour se conformer au RGPD, l'acheteur doit également penser à :

-faire établir un modèle de Data Processing Agreement et un modèle de Politique de sécurité et de protection des données personnelles pour les joindre aux nouveaux contrats ou aux avenants,
-faire mettre à jour ses modèles de contrat d'achats et la charte informatique signée par les intervenants extérieurs,
-créer un registre des sous-traitants, au sens du RGPD, listant les caractéristiques de traitements opérés,
-coordonner ses actions avec le délégué à la protection des données de son entreprise

Dans ce contexte, il apparaît clairement que le RGPD représente un nouveau risque réglementaire à intégrer dans le process achat mais aussi une nouvelle opportunité de renforcer la place de l'acheteur au coeur du process de contractualisation. Afin de gérer ce risque et de tirer profit de cette opportunité, l'acheteur devra évidemment se former sérieusement pour monter efficacement en compétence sur cette thématique réglementaire qui sera incontournable dans toutes les entreprises pour de nombreuses années.

Par Me Franklin Brousse - Avocat au Barreau de Paris - Cabinet + Avocats

Je m'abonne

NEWSLETTER | Abonnez-vous pour recevoir nos meilleurs articles

La rédaction vous recommande

Retour haut de page