Le 25 Mai dernier, le GDPR alias Règlement Général sur la Protection des Données (RGPD) en français, est entré en vigueur en Europe. Ce règlement a pour but de cadrer l’utilisation et le stockage des données personnelles au sein des entreprises. Cette mesure a un impact sur l’ensemble des métiers, notamment ceux liés à la relation client. Mais, qu’en est-il de l’impact sur le métier d’acheteur ? En réponse à cela, nous mettrons en avant une définition du GDPR, ses conséquences sur le département achats et quelles mesures prendre pour être juridiquement conforme.
Qu’est-ce que le GDPR ?
À l’ère de la Big Data, la quantité d’échanges de données a fortement augmenté, et, la nature des informations et les moyens d’échanges se sont diversifiés.
Le GDPR est un règlement né d’un travail commun entre la Commission Européenne, le Parlement Européen et le Conseil Européen. Ce texte vise à mettre à jour les anciennes directives sur la protection des données des individus au sein de l’Union Européenne. En d’autres termes, le GDPR, a pour but de procurer aux citoyens un pouvoir de contrôle et de protection sur leurs données personnelles. S’agissant d’une directive européenne, celle-ci s’applique à toutes les entreprises exerçant sur le territoire européen, ou récoltant des données sur des personnes physiques qui résident dans l’Union Européenne.
L’article 5.1 du Règlement Général sur la Protection des Données, spécifie que les données à caractère personnel doivent être :
- Traitées de manière licite, loyale et transparente
- Collectées pour des finalités déterminées, explicites et légitimes
- Adéquates, pertinentes et limitées à ce qui est nécessaire par rapport aux finalités définies
- Exactes et tenues à jour
- Conservées uniquement pour la période définie par les finalités
- Sécurisées afin d’empêcher la perte et le traitement non-autorisé ou illicite des données
Quels sont les impacts du GDPR sur le métier d’acheteur ?
Le GDPR impacte toutes les activités donnant lieu à un traitement de données personnelles. De ce fait, la relation acheteur/fournisseur se voit elle aussi concernée par cette réglementation. En effet, l’acheteur est en contact avec différents outils de stockage de données tels qu’une solution achat global ou encore une SRM (Supplier Relationship Management). C’est pourquoi, il doit être vigilant quant à la confidentialité et la sécurisation de ces données dites personnelles. De plus, avec l’arrivée du GDPR, il est désormais obligatoire de spécifier les mesures de protection des données dans les documents contractuels liant l’acheteur au fournisseur. Ainsi, nous pouvons dire que l’impact majeur du GDRP dans la relation fournisseur, est le fait d’être capable de déterminer au préalable des achats si ces derniers entrainent ou non, un accès à des données personnelles par le fournisseur. De plus, il est nécessaire de s’assurer que le fournisseur transmette également des informations conformes.
Quelles mesures l’acheteur doit prendre pour être conforme au GDPR ?
Du fait de sa nature obligatoire, le GDPR prévoit des sanctions pécuniaires pouvant aller jusqu’à 4% du chiffre d’affaires, pour les entreprises qui ne sont pas aux normes. C’est pourquoi, si cela n’est pas déjà fait, il est nécessaire de prendre des mesures pour être conforme.
Pour se mettre en conformité, le département achat peut suivre, en collaboration avec son entreprise, 6 étapes clés :
En complément à ces étapes générales, l’acheteur doit précisément :
- Joindre des formulaires de Data Processing Agreement et de Politique de sécurité et de protection des données à ses contrats initiaux
- Mettre à jour ses contrats déjà signés de même que les chartes informatiques des prestataires
Le Règlement Général sur la Protection des Données opérationnel depuis le 25 Mai dernier, vient bouleverser les habitudes des entreprises en termes de traitement des données. De par son utilisation de SRM et par sa relation fournisseur, le métier d’acheteur est fortement impacté. Ce dernier doit en effet désormais prendre des précautions avant de choisir son fournisseur, et appliquer des procédures de protection des données dans son processus achat. Des solutions digitales facilitent également la mise en conformité avec ce règlement.
Ce sujet vous intéresse ? Ordiges a développé deux modules répondant aux nouvelles exigences quant à la gestion des données personnelles au sein des organisations. Envie d’en savoir plus ? Contactez-nous
par Lisa Courtot – Assistante Marketing & Communication
Sources: Retis, Juritravail, CNIL, Décision Achats