Introduction
Avec l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) dans l’Union Européenne en 2018, les entreprises ont dû non seulement adapter leurs procédures internes de gestion des données, mais également revoir leurs relations avec leurs fournisseurs, en particulier dans le secteur de la technologie, où le traitement des données est souvent central. Ce nouvel environnement réglementaire oblige les entreprises du secteur High-Tech, en tant que responsables du traitement mais aussi en tant que sous-traitants, à porter un regard différent sur l’évaluation de leurs fournisseurs. Cet article a pour objectif de présenter les critères de l’évaluation des fournisseurs High-Tech à l’ère du RGPD et de montrer comment intégrer ces critères dans votre processus d’évaluation pour une meilleure conformité et une gestion des risques plus efficace.
Le Règlement Général sur la Protection des Données (RGPD)
Avant d’aborder la question de l’évaluation des fournisseurs et sous-traitants, il est important de faire un rappel sur les principes fondamentaux du RGPCelui-ci a pour objet de protéger les données personnelles des citoyens européens et d’harmoniser les législations des Etats membres en matière de protection des données. Les entreprises sont pour cela tenues de mise en place des procédures spécifiques de gestion des données personnelles, de désignation d’un responsable du traitement et de notification en cas de violation de données.
Implication du RGPD pour les entreprises High-Tech
Les entreprises High-Tech sont profondément impactées par le RGPD, du fait de la part essentielle que joue le traitement des données personnelles dans leurs opérations. Non seulement, elles doivent veiller à la conformité de leurs propres produits et services, mais aussi s’assurer que leurs fournisseurs, qui sont souvent amenés à traiter des données pour leur compte, respectent également les prescriptions du RGPEn outre, une telle vigilance s’impose d’autant plus que le RGPD impose une obligation de transparence, qui implique d’informer les personnes concernées de l’existence d’un transfert de données hors de l’UE si c’est le cas.
L’évaluation des fournisseurs High-Tech à l’ère du RGPD
L’évaluation des fournisseurs est un processus capital dans la stratégie d’achat d’une entreprise. C’est en effet sur la base de cette évaluation que sont sélectionnés les fournisseurs les plus aptes à satisfaire les besoins de l’entreprise en termes de coûts, de qualité, de délais et de garanties. Avec le RGPD, cette évaluation doit également prendre en compte la capacité du fournisseur à respecter le RGPD et à garantir la sécurisation du traitement des données personnelles.
Le respect du RGPD est devenu un critère de plus en plus important dans l’évaluation des fournisseurs. Il ne s’agit pas seulement des fournisseurs de services informatiques ou de Cloud, mais de tous les fournisseurs susceptibles d’avoir accès à des données personnelles dans le cadre de leurs prestations. Par exemple, un cabinet de conseil en ressources humaines, une entreprise de telemarketing, une entreprise de transport de colis …etc.
Les critères d’évaluation spécifiques à l’ère du RGPD
En plus des critères traditionnels d’évaluation des fournisseurs comme la qualité des produits ou services fournis, leur coût, leur fiabilité et leur capacité à respecter les délais, il convient désormais de prendre en compte leur conformité au RGPCela peut se faire à travers plusieurs éléments comme :
- La présence d’un délégué à la protection des données (DPO)
- La politique de protection des données en place
- La capacité à réagir rapidement en cas de violation de données
- Les procédures de sauvegarde et de récupération des données
- La formation du personnel sur les enjeux du RGPD
- La mise en place de protocoles de chiffrement et de pseudonymisation
- Les contrôles réguliers de conformité au RGPD
Tous ces critères ont pour but d’évaluer la capacité du fournisseur à respecter les exigences du RGPD et donc à limiter les risques de non-conformité pour l’entreprise.
Les enjeux de l’évaluation des fournisseurs avec le RGPD
Les risques liés à une méconnaissance ou une non-application du RGPD par les fournisseurs peuvent être significatifs pour l’entreprise. En effet, les sanctions en cas de non-respect du RGPD peuvent aller jusqu’à 4% du chiffre d’affaires annuel mondial pour les violations les plus graves. A titre d’exemple, Google a été condamné à une amende de 50 millions d’euros par la CNIL en janvier 2019.
De plus, au-delà des sanctions financières, les entreprises s’exposent à un risque d’atteinte à leur réputation qui peut être tout aussi préjudiciable. Il convient en outre de souligner que le RGPD prévoit une responsabilité conjointe des responsables de traitement et des sous-traitants, ce qui signifie que l’entreprise ne peut se défausser de toute sa responsabilité en la matière sur ses fournisseurs.
En intégrant le RGPD dans l’évaluation de leurs fournisseurs, les entreprises ne font pas seulement preuve d’une grande responsabilité, elles montrent également à leurs clients leur engagement à protéger leurs données personnelles. Par ailleurs, elles incitent leurs fournisseurs à se mettre en conformité, contribuant ainsi à faire du RGPD une norme de fait.
Conclusion
L’évaluation des fournisseurs High-Tech à l’ère du RGPD représente un enjeu majeur pour les entreprises. L’intégration de critères liés à la protection des données personnelles dans cette évaluation est une nécessité pour assurer la conformité de l’entreprise et la minimisation des risques liés à l’utilisation des données personnelles. Ainsi, une véritable culture RGPD peut se développer au sein de l’entreprise et de son écosystème, conduisant à une amélioration de la protection des données personnelles.
