Le Règlement européen de la protection des données (RGPD en français, GDPR en anglais) est entré en vigueur depuis le 25 mai dernier. Mais la course à la mise en conformité a démarré depuis bien longtemps au sein des entreprises. Si on pense immédiatement aux services marketing ou ressources humaines, les directions d’achats sont tout aussi concernées.
RGPD : une priorité pour les entreprises
Les entreprises doivent désormais repenser la façon dont elles collectent et exploitent les données numériques. Et elles y mettent les moyens : le Syntec Numérique (syndicat professionnel) révélait que près de 958 millions d’euros avaient été investis par les entreprises dans les logiciels et services divers pour se mettre en conformité sur l’année 2018. En 2019, ce chiffre devrait augmenter pour atteindre les 980 millions d’euros.
RGPD & Achats : des opportunités à saisir
Le Règlement européen de la protection des données est un nouveau défi à relever pour les directions d’achats mais c’est aussi pour elles l’opportunité de revoir les relations avec leurs fournisseurs et prestataires ainsi que les processus rattachés. Acxias identifie deux cas de figure majeurs où les directions d’achats sont concernées par le RGPD :
- Lorsque leur système d’information exploite des données sur leurs contacts fournisseurs. Il est stipulé que les entreprises doivent instaurer des procédures et des solutions de protection comme par exemple des dispositifs d’anonymisation.
- Lorsqu’elles recourent à des tiers ou des sous-traitants informatiques pour héberger ou exploiter des données. La mise en conformité des services fournis par les prestataires est fondamentale. Pour se protéger au mieux, les entreprises doivent adapter les contrats avec leurs prestataires en y décrivant ces obligations (vérifier la sécurisation, mettre en place une procédure en cas d’attaque, réaliser une analyse d’impact…).
L'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise) met en garde quant à la gestion des sous-traitants. Si ces derniers exploitent des informations personnelles pour l’entreprise, ils sont dès lors considérés comme « responsables de traitement ».
Quelle que soit la problématique, les directions d’achats doivent agir avec la DSI (Direction des Systèmes Informatique), le service juridique et même idéalement le DPO (Data Protection Officer) pour tirer profit de la situation :
1. Supprimer les données de mauvaise qualité
« L’un des avantages du RGPD, nous explique Cédric Messeguer, directeur adjoint de Digital Security, est qu'il évoque un sujet qui n'a pas été traité jusque-là, qui est la classification des données. » En cartographiant et en classant les données, c’est l’occasion de se débarrasser des informations inutiles !
2. Renégocier les termes et conditions des contrats
Les directions d’achats seront en position de force pour renégocier les contrats avec les fournisseurs et prestataires qui ne sont pas encore conformes au RGPD. Et pourquoi pas en profiter pour aborder les tarifs et faire des économies !
Il sera peut être nécessaire pour les entreprises de mettre à jour leur outil CLM (Contract Lifecycle Management) , d’autant plus si la nouvelle réglementation est intégrée, mettant ainsi à disposition des clauses et document types. Il est également pertinent de créer un groupe de réflexion pour envisager de façon plus globale la modernisation de son système d’information achats, notamment pour la partie concernée par le RGPD.
Il ne vous reste plus qu’à faire le tri dans vos données et fixer des rendez-vous avec vos prestataires