Respecter les directives du RGPD pour vos contrats en trois étapes
Dans le présent article, nous allons vous présenter trois étapes pour vous aider à respecter les directives du RGPD pour vos contrats fournisseurs et permettre ainsi à votre entreprise d’être fin prête pour l’échéance du 25 mai 2018.
Je m'abonneLe RGPD (Règlement général sur la protection des données) est sur toutes les lèvres. La plupart des articles qui en parlent incitent à agir sans attendre et certains sont même franchement alarmants. Dans le présent article, nous allons vous présenter trois étapes pour vous aider à respecter les directives du RGPD pour vos contrats fournisseurs et permettre ainsi à votre entreprise d’être fin prête pour l’échéance du 25 mai 2018.
En cas de non-conformité, les pénalités peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel global de l’entreprise. Le montant le plus élevé étant retenu.
Cette sanction du RGPD a largement été médiatisée, à juste titre, et s’avère d’une sévérité exemplaire. Si la conformité est une priorité à laquelle aucune organisation ne peut échapper, il ne faut pas oublier qu’elle est bénéfique pour la confiance du client et la réputation de l’entreprise.
Source: https://www.docaufutur.fr
1.Passez en revue vos contrats avec vos sous-traitants (fournisseurs et prestataires) qui ont accès à des données personnelles européennes, pour vous assurer qu’ils sont conformes au RGPD.
En tant qu’entreprise vous êtes responsable du traitement des données dont vous êtes propriétaire et devez en garantir la conformité. Si vous donnez accès à vos données à l’un de vos sous-traitants, celui-ci devient alors coresponsable du traitement de ces données.
La première étape est donc d’abord d’identifier lesquels de vos sous-traitants (fournisseurs ou prestataires) sont affectés par les règles du RGPD et déterminer ce que vous souhaitez retirer des relations contractuelles qui vous lient. Une solution de gestion des contrats (notamment si elle est associée à une solution de gestion des fournisseurs partageant des données intégrées) peut vous simplifier la tâche en vous permettant d’accéder en un clic à tous les contrats fournisseurs du référentiel de votre entreprise.
Ainsi, vous pouvez identifier rapidement et précisément :
- Quoi: Les flux de données personnelles
- Qui: Les entités qui ont accès à ces données
- Où: les endroits où les données sont traitées (systèmes ou les lieux géographiques)
En d’autres termes, vous connaissez les risques potentiels les plus importants. Vous pouvez ensuite passer en revue les dispositions de protection des données de chacun de vos sous-traitants et déterminer ceux qui présentent le plus de risques.
2.Pensez à inclure les dispositions suivantes dans les contrats des sous-traitants ayant accès à des données personnelles européennes, conformément à l’article 28.
Le RGPD comporte beaucoup d’articles, qui ne sont pas forcément très clairs. L’article 28 est l’un des plus simples à comprendre. Il spécifie que tout sous-traitant (fournisseur ou prestataire) ayant accès à des données concernées par le RGPD doit présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux exigences du RGPD. Ces mesures doivent par ailleurs être régies par un contrat. Si ce sous-traitant souhaite faire appel à un sous-traitant, l’entreprise responsable du traitement doit d’abord approuver.
Pour pouvoir vérifier la conformité GRPD des sous-traitants de vos sous-traitants, les solutions de Gestion des Contrats, telles que celle de Determine, vous permettent par exemple de contrôler plusieurs familles, types et extensions de contrats.
Determine vous permet également de centraliser toutes les informations relatives aux contrats (statut du contrats, parties impliquées, clauses, dispositions, dates, etc.) pour que vous puissiez en faire facilement l’inventaire conformément aux exigences du RGPD.
Enfin, en vous appuyant sur des outils vous permettant de savoir précisément ce que couvrent vos contrats, vous pouvez respecter toute nouvelle exigence, qu’elle concerne la notification dans un délai de 72 heures de toute violation de données, l’impact de la protection des données ou le renvoi final des données.
3.Priorisez les risques pour garantir votre conformité à l’échéance.
Selon une étude de l’IAPP, une association internationale à but non lucratif visant à protéger la confidentialité des informations, environ six sociétés sur dix indiquent qu’elles ne seront pas en mesure de respecter parfaitement le RGPD lors de son entrée en vigueur. Cela représente un pourcentage élevé d’entreprises qui risquent de subir les conséquences de leur non-conformité, même s’il est évident qu’il est difficile de garantir la conformité.
Il n’y a pas encore de meilleures pratiques, mais une priorisation des risques vous permettra de respecter plus facilement les exigences de cette nouvelle réglementation.
Tout commence en interne, en travaillant main dans la main avec les équipes juridiques pour s’assurer que les contrats protègent contre les risques liés au RGPD. Cela implique également de catégoriser les sous-traitants (fournisseurs et prestataires) pour pouvoir travailler avec eux selon un ordre de priorité adapté sur des sujets tels que la responsabilité, les indemnités, les protections appropriées, etc. Bien évidemment, il faut pour cela connaître les sous-traitants les plus exposés et ceux qui sont d’une importance critique pour l’entreprise.
Une solution de Gestion des Contrats performante fournit d’office ces informations. Cela pourrait expliquer pourquoi, d’après l’étude de l’IAPP, les investissements digitaux sont, après la formation, la solution plébiscitée pour limiter les risques liés au RGPD. Dans cette optique, les entreprises adoptent de plus en plus massivement les systèmes de Gestion des Fournisseurs, les plus complets intégrant la Gestion des Contrats pour garantir une conformité optimale.
Les entreprises de toute taille se hâtent de tout mettre en œuvre pour respecter les directives du RGPD et continueront à le faire même après l’échéance du 25 mai.
Dans ce contexte, il est ainsi quasi impossible de gérer toute cette complexité sans une Solution de Gestion des Contrats complète qui aligne en interne ressources, processus et données, qui permet de garantir la conformité des sous-traitants et qui permet d’automatiser les processus. En fait, c’est même tout simplement impossible.
Découvrez comment la Solution de Gestion des Contrats de Determine vous permet de répondre aux directives du RGPD en demandant une démo gratuite à nos équipes.
Je m'abonne