DossierRGPD: tout savoir sur le règlement européen qui chamboule vos traitements de données
8 - [Cas pratique] Les services achats face au RGPD
Contrats fournisseurs, sous-traitants hors UE, géolocalisation de la flotte auto... Quelles seront les implications du RGPD pour les services achats? Me Sylvain Staub, du cabinet Staub & Associés, apporte des précisions sur ces points particuliers.
> L'entrée en vigueur du RGPD implique une actualisation des contrats fournisseurs. Faut-il mener un audit sur tous les contrats passés avec les fournisseurs? Quels sont les fournisseurs qui seront les plus impactés?
Il faut sans attendre commencer à interroger les fournisseurs sur les modalités de leur mise en conformité au RGDP, à l'horizon 2018 au plus tard. Cela signifie qu'en parallèle des réformes à mener au sein de l'entreprise ou du groupe (la question des flux transfrontaliers de données demeure cruciale et toujours aussi complexe compte tenu du nombre de prestataires nord-américains en charge des services numériques utilisés par les entreprises européennes), il faut solliciter l'information et le conseil dus par les professionnels au sujet de leurs produits et services numériques et de leur connaissance des pratiques et besoins de l'entreprise cliente.
La question des flux transfrontaliers de données demeure cruciale et toujours aussi complexe
La conformité au RGDP est un travail de concertation: il implique d'interroger les juristes experts de la question en amont, d'engager les analyses d'impacts exigées par le règlement, de solliciter les experts de la sécurité informatique qui indiqueront comment réorganiser les processus et se conformer aux normes de sécurité, et interroger les éditeurs logiciels ou clouds sur les changements qui seront déployés sur leurs technologies dans les mois à venir.
Ce travail sera itératif, car l'on va se référer aux normes de sécurité d'une part, qui sont par nature évolutives, et aux travaux juridiques de la CNIL et du Groupe art. 29 d'autre part, qui va peu à peu élaborer des règles de droit dérivé (clauses contractuelles types, certifications, normes "simplifiées" actualisées). L'ensemble du marché doit dialoguer pour que le niveau monte progressivement jusqu'à atteindre les exigences du RGDP.
> Qu'est-ce que le RGPD va changer pour les entreprises travaillant avec des sous-traitants implantés hors UE?
Le niveau de protection européen est renforcé
Pas grand-chose sur le plan des principes, les données personnelles des Européens ne peuvent pas être traitées hors UE à moins de bénéficier d'une des exceptions qui figuraient déjà dans la Directive de 1995: soit le pays d'accueil propose un niveau de protection légale équivalent (les cartes seront rebattues puisque le niveau de protection européen est renforcé), soit l'entreprise source signe avec le sous-traitant récepteur des clauses contractuelles types (qui elles aussi vont manifestement évoluer pour prendre en compte les nouveaux droits créés au bénéfice des personnes physiques), soit le groupe d'entreprises adopte des "binding corporate rules"qui devront donner force aux nouveaux principes et concepts du RGDP. C'est donc dans le détail de ces modalités d'encadrement des flux transfrontaliers de données que les nouveautés du RGDP devront être actualisées.
> Les gestionnaires de flottes ont de plus en plus recours à la géolocalisation des véhicules. Quelles précautions devront-ils prendre avec les données ainsi collectées pour ne pas être en infraction avec le RGPD?
La géolocalisation n'est qu'un traitement comme un autre. La localisation d'un véhicule géolocalise également son conducteur, et sauf exceptions il s'agira donc là d'un traitement de données personnelles qui devra être encadré, protégé et faire l'objet de limites.
Les dispositifs de géolocalisation devront donc répondre aux impératifs classiques de sécurité et de proportionnalité, mais ils devront également être remaniés pour intégrer de manière structurelle la privacy by design et le security by default. Il en va en fait ainsi de tous les traitements numériques déployés dans nos sociétés interconnectées: géolocalisation, vidéosurveillance, internet des objets, profilage marketing, surveillance aux fins de sécurité publique, exploitation des datalakes, etc.
Interview réalisée en février 2017
Quel impact sur les contrats fournisseurs?
Pour se mettre en conformité avec le RGPD, les directeurs achats devront veiller à renforcer les contrats passés avec leurs fournisseurs. Le cabinet Staub & Associés recommande notamment de stipuler désormais:
- Les finalités précises du traitement
- L'objet et la durée de conservation des données personnelles
- La typologie des données collectées et des personnes concernées
- Les droits du sous-traitant et les obligations du responsable de traitement
- Les engagements du sous-traitants en matière de reproduction des mentions d'information, de fourniture et d'entretien d'une documentation précise des mesures de protection
- L'exigence de coopération entre les parties et avec la Cnil
- Les modalités de notification des failles de sécurité
- L'entretien des dispositifs internes du prestataire permettant d'attester en tout temps de la protection structurelle
- Les mesures d'urgence en cas de fuite de données et/ou de non-conformité du dispositif aux niveaux convenus