Le 25 mai 2018 prochain, la directive européenne concernant la protection des données personnelles (RGPD*) sera désormais en vigueur. Toutes les entreprises concernées devront avoir réalisé les modifications nécessaires dans leurs processus sous peine de sanctions allant jusqu’à 20 millions d’euros d’amende ou 4 % du chiffre d’affaires annuel global.
Au regard des risques, le RGPD peut être perçu comme une contrainte par les entreprises, d’un point de vue organisationnel notamment. Cependant, la nouvelle règlementation représente une véritable opportunité, pour les acteurs concernés : (re)placer l’acheteur au cœur des processus de contractualisation et de la relation fournisseur.
* Règlement Général de Protection des Données
Le RGPD, dans quelles circonstances ?
Le RGPD s’appliquera pour chaque prestation contenant l’implication de données personnelles.
Infogérance, CRM*, SI achat, logiciel de comptabilité, etc. : la conformité des documents ne dépendra plus uniquement du bon vouloir des entreprises mais également de la capacité des fournisseurs à transmettre les informations conformes à la future réglementation.
De ce fait, l’acheteur sera fortement impliqué dans les contrôles de conformité.
* Customer relationship Management
Les 6 étapes pour être conforme à la nouvelle réglementation
1- Désigner un chef de projet
Il est nécessaire de désigner un chef de projet pour structurer votre projet RGPD. Informations, conseils et mise en place opérationnelle : le pilote sera l’unique référent permettant d’organiser les actions à mener et d’être dans les temps.
Outil : Comment devenir délégué à la protection des données ?
2- Lister l'ensemble des processus comprenant des données personnelles
Pour comprendre l’impact de la nouvelle réglementation sur une organisation, il faut au préalable faire un état des lieux de tous les processus internes et externes concernés par l’implication de données personnelles.
Outil : Registre des traitements de données personnelles
3- Prioriser les actions à mener
Une fois le registre des traitements établi (cf étape 2), il ne reste plus qu’à prioriser les actions à mener par ordre d’importance, vis-à-vis du degré de risque susceptible d’influencer la liberté des personnes concernées.
Outil : Guide CNIL « La sécurité des données personnelles »
4- Gérer les risques
Si, lors de la priorisation des actions à mener (cf point 3), des risques élevés sont identifiés concernant les droits et libertés des acteurs, alors l’objectif sera de déterminer rapidement, pour chaque action, l’analyse d’impact sur la protection des données (PIA).
Outil : Télécharger l’outil PIA
5- Mettre en place des processus internes
Afin de maintenir une protection maximale des données personnelles, il faut miser sur des procédures internes garantissant un suivi permanent des évènements susceptibles d’émerger lors de la vie d’un traitement : changement de prestataire, gestion des demandes d’accès, modification des données collectées, etc.
Outil : Exemple de formulaire de violation des données personnelles
(Fichier utilisé par les fournisseurs du secteur public)
6- Documenter la conformité
Clarifier au maximum votre conformité en regroupant la documentation nécessaire : les actions menées pour arriver à ce niveau de conformité et les travaux à réaliser régulièrement afin de maintenir ce niveau de protection de données. Cette ultime étape est nécessaire afin de démontrer que votre structure respecte bien le niveau de conformité demandé par la CNIL.
Sources : Décision Achats : L'impact du RGPD sur le métier des acheteurs - un nouveau risque à intégrer dans le process achat CNIL : RGPD : se préparer en 6 étapes |