Le règlement général sur la protection des données (RGPD) : quels impacts sur les directions IT, juridiques & achats ?

Le 25 mai 2018, le Règlement Général sur la Protection des Données Personnelles (RGPD) entrera en application dans toute l’Union européenne. Ce règlement s’applique dès que l’on traite des données personnelles, que ce soit des données concernant des collaborateurs, des fournisseurs ou des clients. Le RGPD n’est donc pas seulement applicable aux géants du GAFA (Google, Apple, Facebook, Amazon) qui ont fondé tout ou partie de leur business model sur l’exploitation et la revente des données personnelles, mais bien à l’ensemble de la chaine des acteurs qui collectent, stockent et exploitent des données provenant de personnes physiques.

Quelles données sont concernées ?

La réponse est simple : TOUTES les données permettant d’identifier directement ou indirectement une personne physique entrent dans le périmètre du RGPD.

Quels impacts pour les directions SI, Juridiques & Achats ?

L’impact pour les DSI se focalisera principalement sur la maîtrise des données et leur sécurisation. On estime que les budgets des DSI pourront être impactés jusqu’à 20% de leurs budgets actuels, du fait des évolutions technologiques nécessaires à la mise en conformité de l’entreprise, notamment en ce qui concerne la gestion des accès, des droits des utilisateurs ainsi que de la gestion des habilitations.

Les enjeux pour les DSI :

• Identifier les zones à risques
• Cartographier les flux de données personnelles et l’ensemble des flux automatiques ou manuels qui permettent d’identifier le(s) propriétaire(s) de(s) la donnée(s).
• Identifier les mécanismes d’anonymisation des données (empêcher l’identification par recoupement ou déduction, processus de cryptage/décryptage etc.)
• Sécuriser les données : localisation des données, traçabilité des accès, anonymisation, chiffrement des transmissions, gestion des droits d’accès, etc.
   

Il apparaît donc comme nécessaire pour les DSI d’être accompagnées par les directions supports de leurs organisations, à savoir principalement : les directions juridiques & achats.

Les directions juridiques en ébullition !
Les directions juridiques via leur Délégué à la Protection des Données Personnelles (DPO) sont à pied-d‘œuvre afin de mettre à jour les dispositifs contractuels avec l’ensemble des partenaires et fournisseurs de tous types et ce tout particulièrement avec les éditeurs de logiciels.

La direction achats quant à elle, aura la charge de prendre en compte dès la phase de Request For Proposal (RFP) les obligations du RGPD et de mettre à jour les accords existants ainsi que les pratiques à risques et de les faire évoluer afin d’être en conformité avec la règlementation.

Des discussions longues avec les éditeurs notamment « non-europeens »
Des la phase de RFP les directions achats doivent vérifier que les sous-traitants (éditeurs) shortlistés répondent aux exigences du RGPD notamment les obligations suivantes :

• Tenir un registre des traitements
• Confidentialité, localisation des données
• Avertissement en cas de violation des données
• Collaboration aux audits RGPD
• Mise en place des mesures organisationnelles et techniques adaptées
• Suppression et renvoi de toutes les données en fin de contrat
• Application des mêmes obligations à ses propres sous-traitants et à toutes personnes ayant accès à ces données personnelles

Les directions achats devront également porter leur attention sur :

• La répartition des responsabilités entre les donneurs d’ordres et les sous-traitants. Le partage des responsabilités doit être clairement mentionné entre responsable (client) et sous-traitants (éditeurs) dans les contrats (exemple : gestion des droits des personnes concernées, limitation des durées de conservation, etc.)
• Le bannissement des collectes de données dîtes à « foison» : la notion de « privacy by design and by default » dans le RGPD précise que la collecte des données doit se limiter au strict nécessaire (exemples à proscrire, le « fleet management » qui avait pour coutume de collecter davantage d’informations que nécessaire).
   

Mode SAAS & RGPD : chaud devant !
Le modèle SaaS implique un hébergement des données, quelles qu’elles soient. Il est donc nécessaire de veiller à leur protection.

Le challenge pour les directions achats et juridiques est de mettre à jour les contrats existants en prenant en compte les nouvelles exigences du RGPD et de les intégrer dans leurs futurs accords.

Pour cela nous vous conseillons de vous appuyer sur votre DPO, qui aura construit des conditions générales de traitement et de protection des données que vous pourrez faire signer par l’ensemble de votre panel de sous-traitants.

Ensuite il vous faudra identifier les contrats et zones à risques puis négocier un avenant afin de prendre en compte cette nouvelle réglementation.

Cependant, il est à prévoir qu’il sera certainement très difficile d’imposer vos conditions générales de traitement et de protection des données aux éditeurs de solutions logicielles. En effet le RGPD impose aux éditeurs de revoir profondément le code de leurs applications, ce qui peut prendre du temps.

Que prévoir dans les conditions génériques à annexer aux contrats ?

Les conditions génériques devront définir clairement les obligations communes :

• Respect des principes du RGPD (Accountability, DPO, Tenue d’un registre des traitements, etc.)
• La collaboration avec les autorités de contrôle
• La sécurité, la confidentialité
• Respect des règles de transferts de données vers des pays tiers

Les aspects sécurité, notification et répercussions sur les sous-traitants de rang X (back to back), ainsi que la restitution et la réversibilité en fin de contrat sont des points à aborder dans les contrats. Et sont à prévoir notamment :

L’obligation de confidentialité du sous-traitant :

• Insertion d’une clause spécifiant que les personnels du sous-traitant (personne morale) sont tenus à une obligation de confidentialité
• Préciser les politiques de sensibilisation des personnels dans le traitement et la sécurisation des données personnelles & définir les limites d’accès

La collaboration et la réalisation d’audit :

• Définition de la méthode de collecte, limitation du nombre d’audit, identification des interlocuteurs, répartition et prise en charge des frais, etc.
• Les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées

Insérer une clause limitative de responsabilité des dommages indirects en cas de manquement de l’éditeur quant à ses obligations de sécurité (inscrites aux contrats)
A noter que les éditeurs ne sont pas les seuls concernés. Les ESN sont également concernées par le RGPD.

Dans le cas où les éditeurs ne seraient pas en conformité avec le RGPD, l’offre ne doit pas faire l’objet de short-list ou de négociation.

Passer à l’acte avant le 25 mai 
Nous vous préconisons dans un premier temps de mettre en place des conditions génériques RGPD avec chacun de vos sous-traitants le nécessitant. Puis, dans une second, de traiter les spécificités de chaque contrat en distinguant les cas de responsabilité complète ou partielle des sous-traitants.

Il est indispensable d’identifier l’ensemble des contrats traitant de données personnelles, de négocier des avenants en incluant les conditions génériques mise en place par votre DPO et de les faire appliquer avant le 25 Mai, au risque de se faire sanctionner d’a minima 10 millions d’euros ou 4% de son chiffre d’affaires mondial ou 20 millions d’euros.