Respecter les directives du RGPD pour vos contrats en trois étapes

Corcentric

Le RGPD (Règlement général sur la protection des données) est sur toutes les lèvres. La plupart des articles qui en parlent incitent à agir sans attendre et certains sont même franchement alarmants. Dans le présent article, nous allons vous présenter trois étapes pour vous aider à respecter les directives du RGPD pour vos contrats fournisseurs et permettre ainsi à votre entreprise d’être fin prête pour l’échéance du 25 mai 2018.

En cas de non-conformité, les pénalités peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel global de l’entreprise. Le montant le plus élevé étant retenu.

Cette sanction du RGPD a largement été médiatisée, à juste titre, et s’avère d’une sévérité exemplaire. Si la conformité est une priorité à laquelle aucune organisation ne peut échapper, il ne faut pas oublier qu’elle est bénéfique pour la confiance du client et la réputation de l’entreprise.

1.Passez en revue vos contrats avec vos sous-traitants (fournisseurs et prestataires) qui ont accès à des données personnelles européennes, pour vous assurer qu’ils sont conformes au RGPD.

En tant qu’entreprise, il vous incombe de traiter les données dont vous êtes propriétaire et de veiller à leur conformité. Lorsque vous octroyez l’accès à vos données à l’un de vos sous-traitants, ce dernier partage également la responsabilité du traitement de ces données.

Ainsi, la première étape consiste à identifier quels de vos sous-traitants (fournisseurs ou prestataires) sont soumis aux réglementations du RGPD, puis à déterminer les ajustements nécessaires dans les relations contractuelles qui vous lient à eux. Une solution de gestion des contrats, en particulier lorsqu’elle est associée à une solution de gestion des fournisseurs offrant des données intégrées, peut grandement faciliter ce processus en vous permettant d’accéder en un clic à l’ensemble des contrats fournisseurs stockés dans la base de données de votre entreprise.

Cela vous permet de rapidement et précisément identifier :

  • Quoi : Les flux de données personnelles.
  • Qui : Les entités ayant accès à ces données.
  • Où : Les endroits où les données sont traitées (systèmes ou emplacements géographiques).

En d’autres termes, vous pouvez identifier les risques potentiels les plus importants. Vous pouvez ensuite examiner les clauses de protection des données de chacun de vos sous-traitants et déterminer ceux qui présentent les risques les plus élevés.

2.Pensez à inclure les dispositions suivantes dans les contrats des sous-traitants ayant accès à des données personnelles européennes, conformément à l’article 28.

Le RGPD comporte beaucoup d’articles, qui ne sont pas forcément très clairs. L’article 28 est l’un des plus simples à comprendre. Il spécifie que tout sous-traitant (fournisseur ou prestataire) ayant accès à des données concernées par le RGPD doit présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, de manière à ce que le traitement réponde aux exigences du RGPD. Ces mesures doivent par ailleurs être régies par un contrat. Si ce sous-traitant souhaite faire appel à un sous-traitant, l’entreprise responsable du traitement doit d’abord approuver.

Pour garantir la conformité au RGPD des sous-traitants de vos sous-traitants, les solutions de gestion des contrats, comme celle proposée par Corcentric, vous permettent de surveiller diverses catégories, types et portées de contrats.

En outre, Corcentric offre la possibilité de centraliser l’ensemble des données liées à vos contrats, comprenant leur statut, les parties prenantes impliquées, les clauses, les dispositions, les échéances, et bien plus encore. Cette centralisation facilite la création d’un registre conforme aux exigences du RGPD.

En exploitant des outils permettant une analyse détaillée du contenu de vos contrats, vous pouvez ainsi répondre aux nouvelles obligations légales, qu’il s’agisse de la notification rapide des violations de données sous un délai de 72 heures, de l’évaluation de l’impact sur la protection des données, ou encore de la restitution finale des données.

3.Priorisez les risques pour garantir votre conformité à l’échéance.

Selon une étude de l’IAPP, une association internationale à but non lucratif visant à protéger la confidentialité des informations, environ six sociétés sur dix indiquent qu’elles ne seront pas en mesure de respecter parfaitement le RGPD lors de son entrée en vigueur. Cela représente un pourcentage élevé d’entreprises qui risquent de subir les conséquences de leur non-conformité, même s’il est évident qu’il est difficile de garantir la conformité.

Bien que des meilleures pratiques bien établies fassent encore défaut, la priorisation des risques peut considérablement faciliter la conformité à cette nouvelle réglementation.

La démarche initiale consiste à établir une collaboration étroite avec les équipes juridiques en interne afin de garantir que les contrats offrent une protection adéquate contre les risques liés au RGPD. Cela implique également de classer les sous-traitants (fournisseurs et prestataires) en fonction de leur niveau de priorité concernant des aspects tels que la responsabilité, les indemnisations, les mesures de protection appropriées, etc. Il est essentiel de bien identifier les sous-traitants les plus exposés et ceux qui revêtent une importance critique pour l’entreprise.

Une solution de gestion des contrats de qualité offre naturellement ces informations. C’est pourquoi, selon une étude de l’IAPP, les investissements numériques sont considérés, après la formation, comme la solution privilégiée pour atténuer les risques liés au RGPD. De ce fait, de plus en plus d’entreprises adoptent massivement des systèmes de gestion des fournisseurs, la plupart intégrant également la gestion des contrats pour garantir une conformité optimale.

Les entreprises, quel que soit leur taille, s’efforcent de mettre en place les mesures nécessaires pour se conformer aux directives du RGPD, et cette démarche se poursuivra au-delà de la date butoir du 25 mai.

Dans ce contexte complexe, il est presque impossible de gérer efficacement l’ensemble de ces aspects sans une solution de gestion des contrats complète, capable d’harmoniser les ressources, les processus et les données en interne, d’assurer la conformité des sous-traitants, et d’automatiser les processus. En réalité, cela serait tout simplement irréalisable.