Lorsque vous répondez à un appel d’offre, il est de plus en plus fréquent de devoir montrer votre degré de conformité au soumissionnaire du point de vue du RGPD et Sécurité de vos données.

C’est même parfois un point éliminatoire, alors que votre mémoire technique et votre positionnement tarifaire sont bons.  C’est d’ailleurs également désormais une obligation dans la majorité des AO aux marchés public.

Vous allez donc justifier la manière dont vous gérez les données personnelles, car les acheteurs s’attendent ainsi à avoir des garanties sur votre niveau de conformité au RGPD.

 

Il vous est de plus en plus souvent demandé de compléter un formulaire d’audit pour justifier des mesures que vous avez prises.  

Et ce n’est finalement pas si simple de le compléter quand on a du mal à comprendre ce qu’il faut faire (surtout si vous n’avez pas réellement pris en compte les exigences de ce règlement depuis sa mise en place en 2018). Or c’est un sujet important car c’est un motif qui peut vous faire écarter du projet.

Ne commettez pas l’erreur de mettre « oui » partout par défaut sans réellement regarder les questions, car sur certains points, cela nécessitera des commentaires explicatifs que vous ne pourrez sans doute pas fournir.

Il est de bon ton de rester honnête sur ce qui est réellement fait ou en cours de création (comme vos registres de traitement des données personnelles par exemple).

---

Pourquoi les acheteurs vous questionnent sur le RGPD dans la procédure d’appel d’offre ?

Les acheteurs d’un appel d’offre ont besoin de s’assurer de votre niveau de conformité au RGPD.

Il cherchent à comprendre si vous êtes « RGPD compatible ».

Pour rappel, le RGPD c’est le règlement pour la protection des données personnelles dans l’Union européenne, avec des directives strictes qui encadrent le traitement des informations personnelles que vous détenez ou celles de vos clients.

Si les acheteurs vous posent la question, c’est qu’ils ont pour obligation de s’assurer de la capacité de leurs sous-traitants à respecter les exigences du RGPD (c’est dans l’article 28 du RGPD).

Pour cette raison, vous retrouverez de plus en plus souvent :

• des clauses contractuelles sur le RGPD (notamment dans les documents CCAP)
• un questionnaire RGPD à compléter scrupuleusement

Avec le RGPD, c’est à l’entité qui postule au marché de démontrer son niveau de maturité ainsi que la capacité de votre organisation à protéger les données personnelles en fonction du niveau de risque. 

---

Remplir scrupuleusement le questionnaire annexe de sécurité RGPD !

Je suis souvent sollicité par des entreprises pour les aider sur ce questionnaire annexe sur les exigences de sécurité.

Le soumissionnaire souhaite en général se couvrir sur les 4 familles de risques qui définissent la sécurité d’une information :

1. La disponibilité des données
2. L’intégrité des données
3. La confidentialité
4. La traçabilité

 

En général, cela nécessite donc de faire un état des lieux des mesures techniques et organisationnelles mises en œuvre pour garantir la sécurité du traitement sur les données personnelles (NB je rappelle que le simple recueil des données est un traitement, de même que le stockage).

Il faut démontrer son respect des données personnelles

L’exercice de la réponse au formulaire RGPD dans un Appel d’offre, consiste à montrer que vous avez compris le règlement général sur la protection des données et que votre entreprise s’est adaptée.

Vous démontrerez votre conformité aux piliers de la loi en présentant des actions.

Généralement la mise en conformité RGPD passe par les étapes suivantes :

• Démontrer le niveau de maturité de votre entreprise vis à vis du RGPD
• Montrer une méthodologie sur la gestion des données personnelles
• Avoir un registre des activités de traitement (article 30 du RGPD)
• Avoir une politique de protection des données
• Témoigner d’un niveau élevé de sécurité informatique.

Le registre de vos activités de traitement des données donne une vue d’ensemble de ce que vous faites avec les données personnelles.

Ce registre est divisé en sections, chacune correspondant à un traitement différent (c’est-à-dire en général un processus spécifique de votre entreprise comme par exemple :

• la collecte de vos données personnelles
• le traitement des informations
• le stockage des données personnelles collectées
• L’utilisation,
• La suppression de vos données personnelles

Le registre est un outil de pilotage et de démonstration de votre conformité au RGPD.

Il vous permet de documenter vos traitements de données et de vous poser les bonnes questions :

• ai-je vraiment besoin de cette donnée dans le cadre de mon traitement ?
• Est-il pertinent de conserver toutes les données aussi longtemps ?
• Les données sont-elles suffisamment protégées ? Etc.

---

La sous-traitance examinée

Le contrat doit clairement définir l’objet, la durée, la nature et la finalité du traitement, ainsi que les catégories de données personnelles et les catégories de personnes concernées.

C’est cette définition qui fixe le cadre du traitement pour le sous-traitant.

« Vous êtes un sous-traitant si vous traitez des données personnelles pour le compte, sur instruction et sous l’autorité d’un responsable de traitement. »

« Une très grande variété de prestataires de services à la  qualité de sous-traitant au sens juridique du terme.

Les activités des sous-traitants peuvent concerner une tâche bien précise (sous-traitance d’envoi de courriers) ou être plus générales et étendues (gestion de l’ensemble d’un service pour le compte d’un autre organisme telle que la gestion de la paie des salariés ou des agents par exemple).
Sont notamment concernés par le règlement européen :
– les prestataires de services informatiques (hébergement, maintenance,…), les intégrateurs de logiciels, les sociétés de sécurité informatique, les entreprises de service du numérique ou anciennement sociétés de services et d’ingénierie en informatique (SSII) qui ont accès aux données,
– les agences de marketing ou de communication qui traitent des données personnelles pour le
compte de clients et
– plus généralement, tout organisme offrant un service ou une prestation impliquant un traitement de données à caractère personnel pour le compte d’un autre organisme (…) »

CNIL, Guide du sous-traitant   

Il est essentiel de répondre aux exigences d’une entreprise qui cherche un sous-traitant. En créant une politique de confidentialité et en passant par une agence indépendante de protection des données, vous vous assurerez que votre entreprise répond aux normes attendues par les grandes entreprises.

---

Conclusion : RGPD & Appel d’Offre :

Ne répondez pas oui partout au questionnaire RGPD sur un appel d’offre, et mettez toutes les chances de votre côté en vous faisant conseiller sur le sujet !   

                                                     

---