Répondre aux enjeux du RGPD

Les solutions SAP et SAP Ariba accompagnent votre organisation sur le chemin de la conformité avec le RGPD

I. Introduction

En mai 2016, l'Union européenne (UE) a adopté une loi harmonisée sur la protection des données, le Règlement général sur la protection des données (RGPD). À compter du 25 mai 2018, le RGPD sera en vigueur dans tous les États membres de l'UE et dans l'Espace économique européen. Si le RGPD n'apporte pas vraiment de nouveaux concepts, il augmente considérablement les exigences de conformité que doivent respecter les responsables du traitement et sous-traitants dans le cadre de la gestion des données à caractère personnel.

En tant qu'entreprise, SAP s'engage à se conformer au RGPD d'ici le 25 mai 2018. SAP s'est toujours montré cohérent dans son approche de la protection des données dans le cadre ses normes de produits générales, et va désormais étendre cette conformité pour tenir compte des nouvelles exigences du RGPD.Pour aider ses clients, qui examinent la nouvelle version du règlement, SAP a rédigé une synthèse présentant les modifications apportées au RGPD et leurs effets, et expliquant comment les fonctionnalités des produits SAP peuvent les aider à se conformer aux exigences du RGPD.En tant qu'entité SAP, SAP Ariba adopte une approche proactive pour aider les clients à se conformer au RGPD ; la deuxième moitié de ce livre blanc présente les fonctionnalités spécifiques des solutions SAP Ariba ainsi que le support dont disposent les clients pour les aider dans leur tâche.

Les informations contenues dans ce livre blanc sont données uniquement à titre indicatif, étant entendu que SAP décline toute intention de formuler un quelconque avis d'ordre juridique. La responsabilité d'adopter les mesures appropriées pour se conformer au RGPD incombe aux clients, les vrais responsables du traitement au regard du RGPD, et SAP décline toute responsabilité quant aux mesures prises en réponse au présent livre blanc. À cet effet, le présent document n'est pas destiné à tenir lieu de consultation juridique ou professionnelle.

II. Objectifs

Le RGPD vise à harmoniser les exigences en matière de protection des données en Europe pour aboutir à un seul règlement. Il s'adresse aux personnes morales de droit public ou privé, en leur qualité de responsable du traitement ou de sous-traitant. La nouvelle loi vise à protéger les droits et les libertés des personnes physiques, à améliorer la confiance des personnes concernées dans les organisations qui détiennent ou traitent leurs données à caractère personnel et à renforcer le marché intérieur de l'UE. À cette fin, le RGPD fournit un ensemble de règles uniforme relatif au traitement des données à caractère personnel dans l'UE. Le degré d'harmonisation européenne que le RGPD peut atteindre est toutefois limité dans la mesure où le règlement contient des clauses dites « d'ouverture », qui permettent aux États membres de l'UE de présenter des lois et exigences nationales pour certaines activités de traitement des données spécifiques. Ces clauses d'ouverture pourront ainsi entraîner l'application de règles et obligations supplémentaires pour les responsables du traitement et sous-traitants, mais pas la modification ni l'altération du règlement d'origine.

III. Périmètre matériel

Le vaste champ d'application matériel du RGPD couvre le traitement des données à caractère personnel par des moyens automatiques ou une autre forme structurée, notamment ceux intégrés à un système de classement. Cette distinction devient claire puisque le RGPD indique ne pas s'appliquer dans le cas de traitement de données par des personnes physiques dans le cadre d'activités exclusivement personnelles, privées ou domestiques.

IV. Périmètre territorial

De même, le vaste champ d'application territorial du RGPD couvre toutes les activités d'un responsable du traitement ou sous-traitant dans l'UE comprenant le traitement des données à caractère personnel d'une personne. Il faut donc déterminer si le responsable du traitement ou le sous-traitant se trouve dans l'UE. Le RGPD s'applique également aux responsables du traitement ou sous-traitants situés en dehors de l'UE, où le traitement est utilisé pour proposer des biens ou services aux personnes concernées résidant dans l'UE ou surveiller le comportement de ces dernières.

V. Dispositions principales

Le RGPD introduit plusieurs nouvelles exigences légales, susceptibles d'avoir une importante incidence sur l'activité d'un responsable du traitement ou sous-traitant. Par conséquent, chaque responsable du traitement ou sous-traitant initial doit vérifier quelles sont les obligations du RGPD qui lui incombent, ainsi que la manière de s'y conformer.

Principes généraux

Conformément à ses principes de traitement généraux, le RGPD exige que le traitement des données à caractère personnel soit légal, proportionné, transparent, adéquat, exact, sûr, confidentiel, limité dans le temps, qu'il vise des objectifs spécifiques et qu'il soit réalisé de manière responsable (ce qui implique l'application de mesures de sécurité – notamment techniques organisationnelles – appropriées pour garantir l'intégrité et la confidentialité).

Données à caractère personnel

Le RGPD donne une définition explicite de l'expression « données à caractère personnel » : toutes les données relatives à une personne identifiée ou identifiable. L'article 4(1) du RGPD stipule : « une personne physique identifiable peut être identifiée, directement ou indirectement, en particulier au moyen d'un identificateur tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou bien d'un ou plusieurs facteurs spécifiques à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique. » Le terme fait clairement référence aux métadonnées, ou autres données associées telles que les adresses IP, cookies ou autres identificateurs – y compris une combinaison de ces données – pouvant permettre de retrouver une personne. Le RGPD a élargi le catalogue des catégories spéciales de données personnelles pour y inclure les données génétiques et biométriques, s'il s'agit uniquement d'identifier une personne physique, et les données relatives aux condamnations pénales et délits.

Licéité

Le traitement des données à caractère personnel est licite uniquement si l'une des conditions d'autorisation présentées dans le RGPD est remplie. En l'absence de tolérance légale directe, les organisations ont besoin du consentement des personnes dont les données doivent être traitées. Ce consentement doit s'appliquer à tous les motifs pour lesquels les organisations (ayant l'intention de traiter les données) collectent et traitent les données ; de plus, la personne concernée doit avoir le droit de retirer son consentement à tout moment. C'est pourquoi un consentement général pour divers motifs non spécifiés n'est pas valable pour le traitement des données à caractère personnel.

Transparence

Le RGPD vise à améliorer la responsabilité des organisations qui traitent les données à caractère personnel et à renforcer la transparence des données traitées. Même si, sur le fond et la forme, le RGPD ressemble à la directive européenne actuelle, il est beaucoup plus ferme sur son application. Les pénalités de non-conformité sont très élevées, certaines amendes administratives pouvant atteindre 4 % du chiffre d'affaires annuel total, ou 20 millions d'euros, la plus élevée de ces deux valeurs étant retenue. À ces amendes, peuvent s'ajouter des demandes d'indemnisation et d'autres risques de responsabilité juridique. L'objectif est d'inciter les entreprise à consolider leurs structures et processus internes de conformité au règlement.

Protection des données dès la conception et par défaut

Selon les termes du RGPD, la confidentialité doit être délibérément intégrée et être adoptée par défaut dans les systèmes et processus. Les organisations ont l'obligation de veiller à ce que le traitement des données à caractère personnel soit effectué dans un but spécifique et doivent prouver que la protection des données est au cœur de leur infrastructure informatique et de la conception de leur solution.

Sécurité technique et organisationnelle

Ces entités ont aussi l'obligation de mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires pour garantir aux personnes concernées un niveau de sécurité adapté au risque lié au traitement des données. Il faut donc analyser l'environnement interne des ressources informatiques et de traitement de l'organisation afin d'identifier et de mapper les flux de données comprenant les données à caractère personnel. Il sera ainsi possible de vérifier l'adéquation du cadre de sécurité.

Droits des personnes concernées

Tenant compte du fait qu'une personne doit savoir et être à tout moment capable d'identifier quelles données à caractère personnel sont traitées, par qui, dans quel but et sur quelle période de temps, les responsables du traitement devront fournir activement certaines informations générales et particulières ; cette obligation découle des concepts révisés du RGPD en matière de portabilité des données et du droit des personnes à l'accès, au refus/à l'objection, ou à l'oubli. Les organisations impliquées dans le traitement des données à caractère personnel auront donc besoin de solides processus internes pour lesquels des rôles devront être définis.

Gouvernance des données

Les organisations doivent mettre en œuvre de nombreuses mesures systémiques en vue de réduire le risque de violation. En tant que responsables du traitement, les clients doivent prouver aux personnes concernées et aux organismes de réglementation qu'elles respectent la règlementation en vigueur, et SAP, en tant que sous-traitant, doit fournir la même preuve aux clients. La complexité s'accroît lorsque les personnes morales doivent surveiller tous les motifs pour lesquels les données personnelles sont traitées et veiller à ce que les personnes aient donné leur consentement pour chaque cas de traitement de données. Ces mesures doivent être intégrées aux infrastructures informatiques existantes. Selon le résultat de l'évaluation des risques liés à la protection des données d'une entreprise, des mesures comme la désignation d'un Délégué à la protection des données, la réalisation d'évaluations d'impacts sur la vie privée ou l'adoption de procédures d'audit régulières aideront à maintenir la conformité.

Notification de violation

Une violation désigne une situation anormale : lorsque les mesures organisationnelles internes n'ont pas permis d'éviter une violation de données ou lorsque des données à caractère personnel ont été traitées dans un but illicite. En cas de violation de données, les responsables du traitement doivent en informer l'autorité de contrôle et les personnes concernées au plus tard 72 heures après avoir eu connaissance de la situation. S'il s'agit d'une violation de données personnelles, les sous-traitants doivent en informer les responsables du traitement dans les plus brefs délais.

VI. Rôle des solutions et services SAP Ariba

Les solutions SAP Ariba aideront les clients à se conformer au RGPD de plusieurs manières. Par exemple :

  • Les solutions SAP Ariba prennent en charge la gestion et la protection des données des collaborateurs et fournisseurs, y compris l'accessibilité et la visibilité des données, afin que les équipes d'approvisionnement et d'achat du client puissent se consacrer à leurs missions.

  • Avec SAP Ariba, le client peut renforcer et protéger sa collaboration essentielle avec ses fournisseurs à travers une gestion complète, de l'approvisionnement au financement.

  • SAP Ariba répond à la demande de transparence, de sécurité et de protection des données dans les organisations. 

Rôles et définitions du RGPD relatifs aux services SAP Ariba

Responsable du traitement : l'article 4(7) du RGPD stipule : le « Responsable du traitement » est une personne physique ou morale, une autorité publique, un organisme ou toute autre entité qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel  » (c'est nous qui mettons en gras).

En général, le responsable du traitement est responsable de toutes les données à caractère personnel collectées et doit veiller à ce que le sous-traitant couvre également les droits des personnes concernées et les obligations juridiques du responsable du traitement.

  • Les clients SAP Ariba sont les responsables du traitement lorsqu'ils utilisent les applications SAP Ariba. SAP Ariba joue le rôle de sous-traitant au nom du client au moyen du contrat (tel que l'accord sur la protection des données, la description de service, ou le cahier des charges).

  • Les fournisseurs SAP Ariba sont les responsables du traitement puisqu'ils sont entièrement responsables des données à caractère personnel saisies dans SAP Ariba Network, par exemple à travers l'auto-inscription.

Sous-traitant initial : l'article 4(8) du RGPD stipule : le « sous-traitant » est une personne physique ou morale, une autorité publique, un organisme ou toute autre entité qui traite les données à caractère personnel au nom du responsable du traitement (c'est nous qui mettons en gras).

En général, il s'agit du traitement des données selon les instructions contractuelles du responsable du traitement.

  • SAP Ariba, en tant que fournisseur de solutions cloud pour clients et fournisseurs, est le sous-traitant des clients et fournisseurs (qui sont les responsables du traitement).

Solutions SAP Ariba et données à caractère personnel

  • Catégories de données à caractère personnel : les solutions SAP Ariba ne traitent que les coordonnées professionnelles simples d'utilisateurs ou de contacts professionnels, comme les adresses e-mail, les numéros et les noms de collaborateurs, les numéros de téléphone professionnels, et les adresses postales.

  • Catégories de données à caractère personnel spéciales : la déclaration de confidentialité de SAP Ariba interdit l'utilisation des solutions pour le traitement des catégories de données à caractère personnel spéciales.

  • Transfert de données transfrontalier : SAP Ariba entretient des accords sur le transfert de données avec les filiales et sous-traitants de SAP/Ariba qui se conforment aux exigences européennes en matière de transfert transfrontalier de données à caractère personnel. Ces accords reposent sur les clauses contractuelles types de l'UE, également conformes au RGPD afin de garantir un niveau adéquat de protection des données dans le cas de transferts de données à des pays tiers en dehors de l'UE.

  • Chiffrement : les données à caractère personnel sont chiffrées au niveau du stockage, toute la communication externe est chiffrée, et les politiques de sécurité correspondantes sont appliquées.

SAP Ariba soutient les clients dans leur rôle de sous-traitants initiaux

  • SAP Ariba met en œuvre les mesures techniques et organisationnelles appropriées en matière de transparence et de technologie grâce à la tenue de registres des activités de traitement, à des évaluations d'impacts sur le respect de la vie privée, et à l'intégration d'une confidentialité dès la conception et par défaut dans les cycles produits. 

  • SAP Ariba adhère à l'approche unifiée de SAP pour toutes les solutions cloud via l'accord sur le traitement des données, qui constitue une partie importante du contrat client et comprend les clauses contractuelles types pour fournir aux clients des garanties de protection des données.

  • Les professionnels de SAP Ariba sont tenus de suivre et de valider chaque année des formations sur la protection et la confidentialité des données, et de sensibilisation à la sécurité abordant les principes de confidentialité et de sécurité.

  • SAP s'engage à aider les clients à comprendre comment les solutions SAP Ariba protègent la confidentialité, l'intégrité et la disponibilité de leurs données, et offrent une transparence continue, grâce à une publication proactive dans le SAP Cloud Trust Center d'informations relatives aux certifications et attestations SAP Ariba, aux accords sur le traitement des données, à la disponibilité des solutions cloud en temps réel, et à des domaines similaires.

Fonctionnalités des solutions SAP Ariba pour la préparation au RGPD

  • Consentement : les solutions SAP Ariba veillent à ce que les utilisateurs donnent leur consentement et acceptent les déclarations de confidentialité avant d'autoriser l'utilisation par de nouveaux utilisateurs. Il s'agit par exemple du motif de traitement et des catégories des données personnelles traitées. SAP Ariba est également en train de réviser les mécanismes de consentement intégrés, comme les déclarations de confidentialité configurables par le client. Les solutions prennent aussi en charge le désengagement (Opt-out) libre-service, afin que les destinataires puissent se désabonner des communications non souhaitées, comme les notifications par e-mail.

  • Droit à l'oubli : les solutions destinées aux acheteurs rendent l'administrateur client responsable de la gestion des utilisateurs et des rôles. SAP Ariba est également en train de revoir les fonctionnalités de suppression et de rétention des données personnelles, comme la suppression et l'anonymisation des données personnelles. Dans tous les cas, les données clients générales sont supprimées lors de la résiliation du contrat.

  • Droit de rectification : les utilisateurs des solutions SAP Ariba peuvent à tout moment modifier ou corriger les données à caractère personnel de leur profil utilisateur au sein du système.

  • Transparence : les solutions SAP Ariba apportent une visibilité sur les données à caractère personnel et les préférences des utilisateurs. SAP Ariba est également en train de réviser les fonctionnalités des administrateurs nécessaires pour exporter les données utilisateurs dans un format standard et une vue conviviale des journaux de modifications.

  • Contrôle des autorisations et déclarations : les solutions SAP Ariba permettent aux clients de gérer l'autorisation, l'authentification et l'accès basé sur les rôles pour les collaborateurs, sous-traitants et partenaires tiers. Les fonctionnalités détaillées de gestion de tickets et de workflow aident les nouveaux administrateurs SAP Ariba à adapter l'accès des utilisateurs à l'évolution des rôles et à gérer les utilisateurs inactifs.

  • Confidentialité dès la conception et par défaut : le développement de produits SAP Ariba respecte les exigences standard de SAP en matière de sécurité des produits. Des principes de confidentialité supplémentaires sont appliqués dans la phase de conception, comme le fait de limiter la collecte des données personnelles. Les paramètres par défaut, définis selon la limite maximale, couvrent les éléments suivants :

  • Suppression des informations personnellement identifiables lors de la résiliation du contrat et sur demande

  • Consentement à la déclaration de confidentialité (personnalisable)

  • Connexion sur le terrain et accès aux journaux

  • Visibilité, édition et portabilité des informations personnellement identifiables

  • Temps de rétention configurable et traitement restreint

  • Engagement (Opt-in)/Désengagement (Opt-out) et connexion en libre accès

  • Mécanismes d'accès aux données, d'authentification, d'autorisation et de chiffrement des données conformes aux normes sectorielles

Services SAP Ariba pour la préparation au RGPD

  • Notification de violation des données : en cas de violation des données personnelles, les services SAP Ariba offrent un support complet pour permettre de respecter l'obligation de notification dans les plus brefs délais. SAP Ariba offre un processus de bout en bout, de l'identification de la violation jusqu'à l'envoi de la notification au client.

  • Droits des personnes concernées : les services SAP Ariba aident les clients à répondre à leurs questions liées à la confidentialité et leur fournissent une assistance lorsqu'ils doivent permettre à une personne d'exercer ses droits, ou respecter des obligations relatives à la sécurité des informations personnelles.

  • Transparence : les services SAP Ariba aident les clients à respecter leur obligation de tenir des registres des activités de traitement en fournissant le composant SAP Ariba dans le strict respect des exigences du RGPD relatives aux sous-traitants initiaux. SAP Ariba réalise également des évaluations d'impacts sur la protection des données pour les nouveaux produits/services (innovations) et les modifications régulières des produits/services au cours du cycle de version.

  • Responsabilité : SAP Ariba fournit une assurance au moyen d'activités de responsabilité continues, telles qu'une certification régulière, l'évaluation des risques et l'évaluation de la sécurité concernant les applications, le réseau et l'infrastructure informatique, la mise en place de programmes et politiques de sécurité documentés et des formations régulières sur la sécurité.

  • Conformité des sous-traitants : SAP Ariba garantit la conformité permanente des sous-traitants en contrôlant les contrats des sous-traitants et en évaluant les risques liés à la sécurité à l'aide des processus d'achat d'entreprise standard de SAP, notamment les accords sur la protection des données qui réglementent la protection des données à caractère personnel. Une liste des sous-traitants validés est régulièrement mise à jour et envoyée aux clients.

VII. Informations supplémentaires

Pour en savoir plus sur le RGPD, vous pouvez accéder au SAP Cloud Trust Center, consulter les documents relatifs au RGPD sur le site Web de la Commission européenne, ou parcourir le manuel sur la législation européenne en matière de protection des données.

Pour obtenir des renseignements spécifiques concernant votre compte ou les accords et contrats SAP Ariba existants, contactez votre représentant.

Télécharger une version PDF de ces informations