"Il faut interroger les fournisseurs sur les modalités de leur mise en conformité au Règlement général sur la protection des données"
Le règlement général sur la protection des données (RGPD) implique de revoir en détail, d'ici 2018, les traitements des données personnelles au sein des entreprises. Quelles actions entreprendre à l'égard de vos fournisseurs? Me Sylvain Staub, du cabinet Staub & Associés, a répondu à nos questions.
Je m'abonneParu au JO le 4 mai 2016, le Règlement général sur la protection des données (RGPD) renforce la protection des données personnelles traitées par les entreprises. Ces dernières ont jusqu'à mai 2018 pour se mettre en conformité, sous peine de sanctions. Quel est l'impact de ce nouveau règlement pour les directions achats? Me Sylvain Staub, du cabinet Staub & Associés, apporte son éclairage.
> L'entrée en vigueur du RGPD implique une actualisation des contrats fournisseurs. Faut-il mener un audit sur tous les contrats passés avec les fournisseurs? Quels sont les fournisseurs qui seront les plus impactés?
Il faut sans attendre commencer à interroger les fournisseurs sur les modalités de leur mise en conformité au RGDP, à l'horizon 2018 au plus tard. Cela signifie qu'en parallèle des réformes à mener au sein de l'entreprise ou du groupe (la question des flux transfrontaliers de données demeure cruciale et toujours aussi complexe compte tenu du nombre de prestataires nord-américains en charge des services numériques utilisés par les entreprises européennes), il faut solliciter l'information et le conseil dus par les professionnels au sujet de leurs produits et services numériques et de leur connaissance des pratiques et besoins de l'entreprise cliente.
La question des flux transfrontaliers de données demeure cruciale et toujours aussi complexe
La conformité au RGDP est un travail de concertation: il implique d'interroger les juristes experts de la question en amont, d'engager les analyses d'impacts exigées par le règlement, de solliciter les experts de la sécurité informatique qui indiqueront comment réorganiser les processus et se conformer aux normes de sécurité, et interroger les éditeurs logiciels ou clouds sur les changements qui seront déployés sur leurs technologies dans les mois à venir.
Ce travail sera itératif, car l'on va se référer aux normes de sécurité d'une part, qui sont par nature évolutives, et aux travaux juridiques de la CNIL et du Groupe art. 29 d'autre part, qui va peu à peu élaborer des règles de droit dérivé (clauses contractuelles types, certifications, normes "simplifiées" actualisées). L'ensemble du marché doit dialoguer pour que le niveau monte progressivement jusqu'à atteindre les exigences du RGDP.
Le DPO, un nouvel interlocuteur au sein de l'entreprise
Le délégué à la protection des données (DPO) est le "monsieur données personnelles" dont chaque entreprise devra se doter, en interne au-delà d'une certaine dimension. Comme le régime déclaratif de la loi de 1978 et de la Directive de 1995 va disparaître, le DPO devient le garant interne de la conformité de l'entreprise à la réglementation. Il est important de s'interroger rapidement sur le profil qui doit être le sien (à la fois juriste mais aussi technicien pour comprendre les traitements et exiger la sécurité).
Son travail sera notamment d'inscrire sur son registre l'ensemble des traitements de données personnelles mis en oeuvre dans l'entreprise, les procédures de sécurité et la mise en oeuvre des notifications de failles de sécurité par exemple. Il devra être en contact direct avec la direction générale et avoir son oreille. Son recrutement peut se faire en parallèle des travaux juridiques initiaux et des analyses de risques techniques à mener pour cartographier l'existant au sein de l'entreprise, identifier les réformes à mener et donner corps à celles-ci.