Processus achats : 6 étapes pour appréhender l’impact du RGPD

Processus achats et RGPD
15 février 2018
Partagez :
{{totalComments}} commentaires

Le 25 mai 2018 prochain, la directive européenne concernant la protection des données personnelles (RGPD*) sera désormais en vigueur. Toutes les entreprises concernées devront avoir réalisé les modifications nécessaires dans leurs processus sous peine de sanctions allant jusqu’à 20 millions d’euros d’amende ou 4 % du chiffre d’affaires annuel global.


Au regard des risques, le RGPD peut être perçu comme une contrainte par les entreprises, d’un point de vue organisationnel notamment. Cependant, la nouvelle règlementation représente une véritable opportunité, pour les acteurs concernés : (re)placer l’acheteur au cœur des processus de contractualisation et de la relation fournisseur

* Règlement Général de Protection des Données

 

Le RGPD, dans quelles circonstances ?

Le RGPD s’appliquera pour chaque prestation contenant l’implication de données personnelles.
 
Infogérance, CRM*, SI achat, logiciel de comptabilité, etc. : la conformité des documents ne dépendra plus uniquement du bon vouloir des entreprises mais également de la capacité des fournisseurs à transmettre les informations conformes à la future réglementation.


De ce fait, l’acheteur sera fortement impliqué dans les contrôles de conformité.

* Customer relationship Management

 

Les 6 étapes pour être conforme à la nouvelle réglementation

 

1-     Désigner un chef de projet

Il est nécessaire de désigner un chef de projet pour structurer votre projet RGPD. Informations, conseils et mise en place opérationnelle : le pilote sera l’unique référent permettant d’organiser les actions à mener et d’être dans les temps.

Outil : Comment devenir délégué à la protection des données ?

 

2-     Lister l'ensemble des processus comprenant des données personnelles

Pour comprendre l’impact de la nouvelle réglementation sur une organisation, il faut au préalable faire un état des lieux de tous les processus internes et externes concernés par l’implication de données personnelles.

Outil : Registre des traitements de données personnelles

 

3-     Prioriser les actions à mener

Une fois le registre des traitements établi (cf étape 2), il ne reste plus qu’à prioriser les actions à mener par ordre d’importance, vis-à-vis du degré de risque susceptible d’influencer la liberté des personnes concernées.

Outil : Guide CNIL « La sécurité des données personnelles »

 

4-     Gérer les risques

Si, lors de la priorisation des actions à mener (cf point 3), des risques élevés sont identifiés concernant les droits et libertés des acteurs, alors l’objectif sera de déterminer rapidement, pour chaque action, l’analyse d’impact sur la protection des données (PIA).

Outil : Télécharger l’outil PIA

 

5-     Mettre en place des processus internes

Afin de maintenir une protection maximale des données personnelles, il faut miser sur des procédures internes garantissant un suivi permanent des évènements susceptibles d’émerger lors de la vie d’un traitement : changement de prestataire, gestion des demandes d’accès, modification des données collectées, etc.

Outil : Exemple de formulaire de violation des données personnelles

(Fichier utilisé par les fournisseurs du secteur public)

 

6-    Documenter la conformité

Clarifier au maximum votre conformité en regroupant la documentation nécessaire : les actions menées pour arriver à ce niveau de conformité et les travaux à réaliser régulièrement afin de maintenir ce niveau de protection de données. Cette ultime étape est nécessaire afin de démontrer que votre structure respecte bien le niveau de conformité demandé par la CNIL.

 

Sources :

Décision Achats : L'impact du RGPD sur le métier des acheteurs - un nouveau risque à intégrer dans le process achat

CNIL : RGPD : se préparer en 6 étapes