Imprimer

Le RGPD n’épargne pas les achats

on .

Le nouveau texte européen sur la protection des données impose aux directions des achats de garantir la sécurité des informations relatives aux contacts fournisseurs, au moyen de procédures et d’outils dédiés. Elles doivent aussi s’assurer de la mise en conformité des prestataires qui hébergent ou traitent des données pour le compte de leur entreprise, en adaptant les contrats d’achats pour décrire les nouvelles obligations et les solutions envisagées en cas de problème.

commission-europeenne-RGPDDepuis le vendredi 25 mai, le Règlement général sur la protection des données (RGPD) de l’Union européenne est entré en vigueur. Dès lors, toutes les entreprises dont le siège social est basé en Europe, mais également toutes celles qui manipulent des informations personnelles collectées dans l’Union, doivent être en conformité avec le nouveau texte qui a pour objectif de permettre aux individus de contrôler plus facilement la manière dont leurs données sont collectées, utilisées, partagées et stockées. « Différent d’une directive, ce règlement s’impose à tous les pays européens, avec une marge très faible d’adaptation, uniquement pour tenir compte de l’accompagnement (certification, label, etc.) propre à chaque pays », précise Franklin Brousse, avocat des directions achats et digitales.

Si le RGPD concerne particulièrement les directions marketing et ressources humaines, gourmandes en données relatives aux clients/prospects ou aux salariés, les achats ont aussi une responsabilité. Pourquoi ? D’abord, parce que le système d’information de la fonction manipule des informations relatives aux contacts fournisseurs. « Le RGPD impose de mettre en place des mesures particulières, c’est-à-dire des procédures dédiées et des solutions de protection, notamment des outils de chiffrement et des dispositifs d’anonymisation ou de pseudonymisation », explique Franklin Brousse.

Les achats sont aussi concernés en raison du recours de l’entreprise à des tiers ou à des sous-traitants informatiques, potentiellement amenés à héberger ou à traiter des données (salariés, clients, fournisseurs, etc.) pour son compte. « Outre la mise en œuvre de mesures techniques et organisationnelles en interne, les entreprises doivent se poser la question de la mise en conformité des services fournis par leurs prestataires », confirme Jules-Henri Gavetti, Président et co-fondateur de l’hébergeur cloud Ikoula. Afin de s’assurer qu’ils respectent bien le RGPD, et ainsi se protéger, il est impératif d’adapter les contrats d’achats pour décrire leurs obligations (vérification de la sécurisation, procédure de notification en cas d’attaque, analyse d’impact, etc.), éventuellement à travers un « Data protection agreement » à annexer au contrat.

Dans les deux cas, les directions des achats doivent transformer la contrainte en opportunité, en travaillant avec la DSI et les juristes. « Idéalement, ce travail peut être mené avec l’aide du Délégué à la protection des données (ou DPO, pour Data protection officer) dont la mise en place, comme celle du Correspondant informatique et liberté (CIL) il y a quelques années, n’a toutefois aucun caractère d’obligation », explique Franklin Brousse.

Le projet RGPD constitue d’abord une opportunité pour se débarrasser des données de mauvaise qualité. « La meilleure solution consiste à mettre en place une base centralisée, soumise à des règles permettant à l’entreprise d’être en conformité », conseille Brenton Walton, Head of Business Development & Marketing North America chez SynerTrade. « Il peut être efficace de retracer le cycle de vie des données, en inscrivant celui-ci sur un support centralisé et accessible », acquiesce Florian Douetteau, PDG de Dataiku. « Ce cycle doit comporter un inventaire des données existantes, des personnes qui y accèdent et y ont régulièrement recours, ainsi que des modes de traitement de la donnée : copie, suppression, etc. ». De cette manière, il sera plus simple d’identifier les pratiques qui impliquent la manipulation de données personnelles et celles qui présentent des risques.

Avec les prestataires qui ne seraient pas conformes au RGPD, « c’est aussi l’occasion de pouvoir renégocier les termes et conditions des contrats, et d‘en profiter pour faire des économies », poursuit Brenton Walton. L’opération peut aussi nécessiter de mettre à jour son éventuel outil CLM (Contract lifecycle management), en particulier si l’éditeur a intégré la nouvelle réglementation en mettant à disposition des clauses ou des documents spécifiques. Voire de lancer une réflexion plus globale pour moderniser et mettre à niveau la partie concernée de son système d’information achats.