ACHATS | Comment bien se conformer au RGPD

Le 12 mai 2023

Fin avril 2022, Google annonçait que les utilisateurs européens de ses plateformes pourraient maintenant refuser le dépôt de « cookies » et le pistage de leur navigation. L’inexistence du bouton « Tout refuser » coûte cher au géant du web, puisqu’il écope d’une lourde condamnation de 150 millions d’euros, prononcée en janvier par la CNIL pour avoir enfreint le Règlement Général sur la Protection des Données (RGPD) européen.

 

Plus récemment, le 28 novembre 2022, Meta écope d’une amende de 265M d’euros pour ne pas avoir suffisamment protégé les données de ses utilisateurs sur ses plateformes. Elle vient s’ajouter à l’amende de 405M d’euros infligée à Instagram, appartenant également à Meta, en septembre dernier. En proie à des tentatives de piratage permanentes, celles qui ont abouties ont sévèrement impacté la réputation de ces plateformes. Cela a eu pour effet d’attirer l’œil des enquêteurs de la Commission de Protection des Données (de l’anglais DPC), lui ayant également imposé de nombreuses mises à jour.

Le RGPD : une règlementation stricte et complexe

 

Ayant déjà fêté ses 4 ans, ce règlement européen a pour vocation de lutter contre l’hégémonie des GAFAM sur Internet et de protéger ses utilisateurs européens. Le Règlement Général sur la Protection des Données ou GDPR en anglais (General Data Protection Régulation) encadre le traitement des données personnelles sur le territoire de l’Union européenne (UE). Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels, qui permet de développer les activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.

 

Des sanctions sévères et nombreuses

 

Depuis son entrée en application en 2018, les autorités de contrôle européennes ont prononcé un total de 1360 sanctions (novembre 2022) pour un montant total de 2,107 milliards d’euros d’amendes. Les deux dernières années ont non seulement été marquées par une augmentation du nombre de sanctions, mais également par la hausse de leur montant unitaire. La RGPD n’est pas une problématique qui concerne uniquement les grands groupes et les GAFAM. Cependant, leurs condamnations peuvent servir d’exemples sur le changement de paradigme, remettant en question de nombreux fondements liés à la protection des données personnelles des utilisateurs et clients.

 

Comment mettre en place un contrôle de conformité RGPD dans son service

 

Cette réglementation ne cesse de se complexifier, et il est tout à fait normal de se poser des questions sur la conformité de son entreprise avec les dernières règles du RGPD. C’est non seulement important pour éviter toute sanction financière, mais également pour préserver la confiance accordée par ses clients et ses partenaires en sécurisant leurs données.

Ce travail de mise en conformité s’effectue lors d’une concertation avec des juristes experts de la question afin de réaliser des analyses d’impact et solliciter des experts en sécurité informatique. Contraintes par d’importantes pressions juridiques et financières, TOUTES les entreprises, quelle que soit leur taille ou leur activité, doivent veiller à ce que leur mode de collecte et stockage de données soit bien en accord avec le RGPD. Pour cela, il est nécessaire de réaliser en priorité :

  • Un audit de périmètre
  • Une liste de l’ensemble des processus comprenant des données personnelles
  • Une analyse d’impact sur la protection des données avec l’outil Pia de la CNIL
  • Une veille des dernières actualités de la CNIL
  • Définition d’un responsable conformité

 

Comprendre leur rôle dans les achats

 

Dans les services Achats, il est principalement question de l’actualisation des contrats fournisseurs. Le RGPD s’applique pour chaque prestation impliquant les données personnelles, ce qui confronte l’acheteur à de multiples problématiques contractuelles. De l’infogérance au SI Achat, en passant par le SRM (Supplier Relationship Management), l’acheteur est fortement impliqué dans les contrôles de conformité.

Prévoyez une liste de conditions à stipuler dans tous vos nouveaux contrats et revoyez les conditions des plus importants. Vous pouvez exiger une coopération avec la CNIL, une précision systématique de la typologie des données collectées, ainsi que l’objet et la durée de leur conservation. Demandez des mesures détaillées sur la sécurité informatique et des plans d’actions types en cas de fuite ou de non-conformité.

Avant même la contractualisation, la sélection du fournisseur est plus qu’essentielle, notamment lorsque vous traitez avec des partenaires internationaux. Les flux transfrontaliers de données complexifient le choix du fournisseur, puisqu’en dehors de l’UE et de l’EEE (Espace Economique Européen), il est possible que le transfert des données personnelles soit complètement ou partiellement interdit. Tous les pays n’ont pas encore adopté de lois précises cadrant l’utilisation des données personnelles, signifiant que les fournisseurs hors Union Européenne ne seront pas en adéquation avec le RGPD. Pour autant, ces transferts sont possibles à condition d’assurer un niveau de protection des données suffisant, approprié et encadré juridiquement. Vous pourrez par exemple faire appliquer les Règles d’Entreprise Contraignantes, ou Binding Corporate Rules (BCR) en anglais.

 

 

Chez Visiativ Operations & Procurement, nous sommes en mesure de vous accompagner dans la refonte de votre base documentaire achats (contrat, cahier des charges, …) afin de faire évoluer vos documents et processus en incluant ces contraintes réglementaires.

 

Données digitales ou physiques ?

Le règlement concerne autant les données sous format papier, que les données numériques. Il est donc temps de numériser vos données pour faciliter leur traitement, notamment celles contenant les informations sur vos fournisseurs : coordonnées, contrats, factures… Tout client peut vous demander la suppression définitive de ses données dans vos bases, et en fonction de l’ancienneté de la relation ou du volume d’informations, il sera plus facile de nettoyer ces données en ligne.

Solution de plus en plus populaire, les services de « cloud » se multiplient. Cependant, ils rendent la protection de données plus délicate, étant externalisée. Si vous optez pour la solution pratique du stockage en ligne, le choix de vos partenaires d’infrastructure numérique doit être fait de manière extrêmement rigoureuse. L’un des premiers critères doit s’orienter sur leurs pratiques de sécurité informatique et la conformité de leur solution avec les exigences du RGPD. En veillant à la sécurité de vos données internes, vous garantissez également la confidentialité des données de vos clients !

Cette numérisation sera bien plus que bénéfique pour votre département Achats, car, à terme, la numérisation de l’ensemble des données vous permet d’avoir une meilleure visibilité sur vos dépenses et de prendre des décisions plus éclairées. Pour rappel, les factures papier seront bientôt obsolètes et n’auront aucune valeur fiscale en réception à partir du 1er juillet 2022.

 

Chez Visiativ Operations & Procurement, nous vous accompagnons dans la digitalisation de votre service Achats, du sourcing fournisseurs, à l’analyse des dépenses. Nous sélectionnons pour vous des services sécurisés, interactifs et faciles d’utilisation, afin de vous aider à gagner en efficacité et à optimiser vos dépenses.

 

 

Quelles sont les limites du RGPD ?

Pour faciliter les contrôles et le traitement des plaintes et sanctions, le RGDP a été créé selon le principe du « guichet unique ». Chaque pays gère les plaintes contre les entreprises présentes sur son territoire national, tandis que les grandes entreprises du Web ont été attribuées à des pays bien précis. L’Irlande par exemple, est en charge des différentes entités liées à Meta et Google, tandis que le Luxembourg se charge d’Amazon. Cependant, les projets de décisions sont constamment révisés par les régulateurs européens des données avant d’arriver à une solution finale. On comprend aisément la charge de travail immense induite par ces allers-retours qui entraînent beaucoup de retard dans les condamnations.

Ce système de décision décentralisé signifie aussi une inégalité de traitement au niveau de l’application du RGPD, puisque chaque pays doit le transposer dans son droit national. Certains pays peuvent ne pas disposer des ressources nécessaires pour un contrôle efficace et tandis que d’autres peuvent être plus stricts, comme en France où la justice peut engager des poursuites pour utilisation abusive de « cookies ».

 

Le RGPD en somme : une règlementation européenne et des contrôles nationaux

 

Malgré ce qui est officiellement affiché par le RGPD, l’objectif de ce règlement est de replacer la souveraineté des données à un niveau européen, voire national, afin de contrer l’hégémonie des GAFAM. Chaque cybercitoyen européen doit pouvoir être informé de manière totalement transparente sur la façon dont ses données sont utilisées, par qui et comment les supprimer.

Dans les dernières études, notamment celle de Wired publiée fin mai 2022, on remarque que c’est principalement la crainte des sanctions qui pousse les entreprises à adopter des comportement plus vertueux et conformes. Bien que le système de contrôle soit encore perfectible, il tend à s’améliorer au fur et à mesure des différents jugements prononcés et des lois nationales qui viennent le compléter. Gardez à l’esprit que le RGPD concerne tous les services de votre entreprise et que chacun de vos collaborateurs doit être conscient des enjeux liés à la protection des données en interne. En France, les contrôles sont devenus plus fréquents et sévères, alors n’attendez pas pour vérifier votre conformité et mettre à jour les connaissances de tous vos salariés et partenaires stratégiques.

 

Pour aller plus loin : Mission RGPD

 

Nous vous conseillons de consulter Mission RDPD, qui accompagne les entreprises dans le diagnostic de leur activité et la mise en place d’actions de conformité. Au-delà d’un accompagnement ponctuel, c’est un excellent partenaire qui vous tiendra informé des dernières lois et mises à jour du règlement. C’est un acteur clé pour comprendre votre politique de protection des données, avec qui nous travaillons depuis plusieurs années pour assurer un échange sécurisé et confidentiel à nos clients.

Mission RGPD a été élu parmi les legaltechs françaises de l’année 2019 spécialisées en protection des données (baromètre par Maddyness et Actualités du droit Wolters Kluwer) et a été distingué aux Trophées du Droit 2020. Le projet, initié par des collaborateurs Visiativ, est désormais une entité indépendante. Mission RGPD a déjà équipé plus de 150 références en Europe et anime la plus grande communauté francophone dédiée au RGPD avec plus de 4 000 membres.

À consulter :

Afin d’initier votre démarche, il est possible de consulter le site de la CNIL qui vous explique, dans un guide en 6 étapes, comment se conformer au RGPD : Cartographier vos traitements de données personnelles | CNIL

Parallèlement, voici un rappel des règles de sécurité : le Guide de la sécurité des données personnelles (cnil.fr)

Ces articles pourraient vous intéresser

Le 20/03/2022

ACHATS | 4 leviers pour développer l’attractivité et l’impact de la commande publique

Les élus et les acheteurs publics doivent mener des politiques volontaristes de relance de l'économie post-Covid. Focus sur la commande publique Edit Snippet

Découvrir 4 min de lecture
visiativ achats - Impact De La Blockchaine Sur Les Achats

Le 14/03/2022

ACHATS | L’impact de la blockchain dans les achats

Réservée initialement aux transactions de crypto monnaies, la blockchain se démocratise. Si elle entend révolutionner certaines pratiques, qu’en-t-il concrètement de son utilisation à date dans les achats ?

Découvrir 8 min de lecture

Le 22/03/2022

ACHATS | La gestion de l’empreinte carbone par les entreprises

L’empreinte carbone est la quantité de gaz à effet de serre (GES) émise par l’activité d’un être vivant, d’une entreprise, d’un Etat, ou par la production d’un bien ou d’un service. Comment bien le gérer en entreprise ?

Découvrir 2 min de lecture

Les solutions faites pour vous

Achats et Opérations - Digitalisation

Digitaliser ses processus d'achats

Identifiez, sélectionnez et déployez des technologies sur le support de vos processus métiers grâce à un accompagnement adapté.

Découvrir

Achats et Opérations - Structuration et pilotage

Exécuter son plan de transformation d'achat

Organisez vos achats, développez le capital humain de votre entreprise et faîtes confiance à un expert.

Découvrir

Achats et Opérations - Optimisation

Optimiser sa performance d'achat

Activez les leviers sources d’une meilleure performance achat et optimisez votre croissance.

Découvrir

Inscrivez-vous à nos Newsletters