Lorsque vous soumissionnez à un appel d’offre, il devient courant de devoir montrer montrer pâte blanche du point de vue du RGPD.
Vous allez devoir éclaircir et justifier la manière dont vous gérez les données personnelles :
Les acheteurs s’attendent à avoir des garanties sur votre niveau de conformité au RGPD.
Ils vous demandent le plus souvent de compléter un formulaire d’audit pour justifier des mesures que vous avez prises.
Ce n’est pas simple de le compléter quand on a du mal à comprendre ce qu’il faut faire (surtout si vous n’êtes pas complètement au point sur le RGPD).
C’est un sujet important car c’est un motif qui peut vous faire écarter du projet. Même même si le reste de votre mémoire technique est très bon.
Comment répondre à un appel d’offre qui vous pose des questions sur le RGPD ?
Pourquoi les acheteurs vous questionnent sur le RGPD dans la procédure d’appel d’offre ?
Les acheteurs d’un appel d’offre ont besoin de s’assurer de votre niveau de conformité au RGPD.
Il cherchent à comprendre si vous êtes « RGPD compatible ».
Pour rappel, le RGPD c’est le règlement pour la protection des données personnelles dans l’Union européenne, avec des directives strictes pour garder les informations personnelles privées, sécurisées et dans les bonnes mains.
Si les acheteurs vous posent la question, c’est qu’ils ont pour obligation de s’assurer de la capacité de leurs sous-traitants (c’est dans l’article 28 du RGPD).
Quelles sont les exigences RGPD en appel d’offre
Pour cette raison, vous retrouverez de plus en plus souvent :
- des clauses contractuelles sur le RGPD (notamment dans le DC4 et dans le CCAP)
- un questionnaire RGPD à compléter scrupuleusement
Avec le RGPD, c’est à l’entité qui postule au marché de démontrer son niveau de maturité ainsi que la capacité de votre organisation à protéger les données personnelles en fonction du niveau de risque.
Besoin d’aide pour répondre aux exigences RGPD d’un Appel d’Offre ?
Remplir scrupuleusement le questionnaire annexe de sécurité RGPD
J’ai accompagné récemment une entreprise pour soumissionner à un appel d’offre dans lequel figurait une annexe sur les exigences de sécurité.
L’acheteur souhait se couvrir sur 4 familles de risques :
- La disponibilité des données
- L’intégrité des données
- La confidentialité
- La traçabilité
La démarche a été de faire un état des lieux des mesures techniques et organisationnelles mises en œuvre pour garantir la sécurité du traitement.
Démontrer son respect des données personnelles
L’exercice consiste à montrer que vous avez compris le règlement général sur la protection des données et que votre entreprise s’est adaptée. Vous démontrerez votre conformité aux piliers de la loi en présentant des faits.
Généralement la mise en conformité RGPD passe par les étapes suivantes :
- Démontrer le niveau de maturité de votre entreprise vis à vis du RGPD
- Montrer une méthodologie sur la gestion des données personnelles
- Avoir un registre des activités de traitement (article 30 du RGPD)
- Avoir une politique de protection des données
- Témoigner d’un niveau élevé de sécurité informatique.
Le registre de vos activités de traitement des données donne une vue d’ensemble de ce que vous faites avec les données personnelles. Ce registre est divisé en sections, chacune correspondant à une activité différente.
Par exemple :
– collecte de vos données personnelles
– traitement des informations
– stockage, utilisation, divulgation ou suppression de vos données personnelles
Le registre est un outil de pilotage et de démonstration de votre conformité au RGPD. Il vous permet de documenter vos traitements de données et de vous poser les bonnes questions : ai-je vraiment besoin de cette donnée dans le cadre de mon traitement ? Est-il pertinent de conserver toutes les données aussi longtemps ? Les données sont-elles suffisamment protégées ? Etc.
La sous-traitance examinée
Le contrat doit clairement définir l’objet, la durée, la nature et la finalité du traitement, ainsi que les catégories de données personnelles et les catégories de personnes concernées. C’est cette définition qui fixe le cadre du traitement pour le sous-traitant. Ce contrat doit également être approuvé au préalable par les autorités compétentes en matière de protection des données.
« Vous êtes un sous-traitant si vous traitez des données personnelles pour le compte, sur instruction et sous l’autorité d’un responsable de traitement. »
« Une très grande variété de prestataires de services a la qualité de sous-traitant au sens juridique du terme. Les activités des sous-traitants peuvent concerner une tâche bien précise (sous-traitance d’envoi de courriers) ou être plus générales et étendues (gestion de l’ensemble d’un service pour le compte d’un autre organisme telle que la gestion de la paie des salariés ou des agents par exemple).
CNIl, Guide du sous-traitant
Sont notamment concernés par le règlement européen :
– les prestataires de services informatiques (hébergement, maintenance,…), les intégrateurs de
logiciels, les sociétés de sécurité informatique, les entreprises de service du numérique ou
anciennement sociétés de services et d’ingénierie en informatique (SSII) qui ont accès aux
données,
– les agences de marketing ou de communication qui traitent des données personnelles pour le
compte de clients et
– plus généralement, tout organisme offrant un service ou une prestation impliquant un
traitement de données à caractère personnel pour le compte d’un autre organisme (…) »
RGPD & Appel d’Offre : Nous pouvons aider !
Conclusion : Pour remporter un appel d’offre, il faut montrer pâte blanche au RGPD.
Il est toujours important de répondre aux exigences d’une entreprise qui cherche à embaucher un entrepreneur. En créant une politique de confidentialité et en passant par une agence indépendante de protection des données, vous vous assurerez que votre entreprise répond aux normes attendues par les grandes entreprises.
Besoin d’aide pour répondre aux exigences RGPD d’un Appel d’Offre ?