En ce moment En ce moment

[Tribune] L'impact du RGPD sur le métier des acheteurs - un nouveau risque à intégrer dans le process achat

Publié par le

Je m'abonne
  • Imprimer

Comment rendre conforme les contrats concernés au RGPD ?

Qu'il s'agisse d'un hébergeur ou d'un fournisseur de service en mode SaaS, les obligations de ces sous-traitants doivent être décrites au sein d'un contrat en tenant compte notamment :

-de l'objet et la durée du traitement de données,
-de la nature et la finalité de ce traitement,
-du type de données personnelles et des catégories de personnes concernées,
-des mesures de protection des données mises en oeuvre.

En pratique, les obligations du sous-traitant au titre du RGPD seront définies à la fois au sein :

-d'une clause figurant dans le corps du contrat,
-d'une annexe juridique dédiée (souvent dénommée "Data processing Agreement")
-d'une annexe technique dédiée décrivant les mesures de sécurité conformes aux exigences du RGPD (souvent dénommée " Politique de sécurité et de protection des données personnelles ")

Pour les contrats en cours d'exécution impliquant le traitement de données personnelles, il conviendra de signer un avenant intégrant les deux annexes susvisées. Afin d'anticiper, l'acheteur doit donc dès aujourd'hui identifier tous les contrats où les prestataires ont la qualité de sous-traitants au sens du RGPD et établir un modèle d'avenant type à faire signer avant le 25 mai 2018.

Comment rendre conforme le process achats au RGPD ?

Pour se conformer au RGPD, l'acheteur doit également penser à :

-faire établir un modèle de Data Processing Agreement et un modèle de Politique de sécurité et de protection des données personnelles pour les joindre aux nouveaux contrats ou aux avenants,
-faire mettre à jour ses modèles de contrat d'achats et la charte informatique signée par les intervenants extérieurs,
-créer un registre des sous-traitants, au sens du RGPD, listant les caractéristiques de traitements opérés,
-coordonner ses actions avec le délégué à la protection des données de son entreprise

Dans ce contexte, il apparaît clairement que le RGPD représente un nouveau risque réglementaire à intégrer dans le process achat mais aussi une nouvelle opportunité de renforcer la place de l'acheteur au coeur du process de contractualisation. Afin de gérer ce risque et de tirer profit de cette opportunité, l'acheteur devra évidemment se former sérieusement pour monter efficacement en compétence sur cette thématique réglementaire qui sera incontournable dans toutes les entreprises pour de nombreuses années.

Par Me Franklin Brousse - Avocat au Barreau de Paris - Cabinet + Avocats

Je m'abonne

Franklin Brousse, +Avocats

Aude Guesnon,<br/>rédactrice en chef Aude Guesnon,
rédactrice en chef

La Lettre de la Rédac

Chaque semaine, l'essentiel de l'actu

La rédaction vous recommande

Par Synertrade

premiere vue cette loi peut representer de nouvelles contraintes pour les entreprises ainsi que des risques reputationnels et financiers Mais [...]

Sur le même sujet