Les derniers articles par Didier Caboche (tout voir)

Nous l’avons vu dans notre précédent article, la mise en conformité des fournisseurs constitue le premier rempart pour se mettre en accord avec la loi mais aussi et surtout diminuer le risque.

Cette mise en conformité repose surtout sur la connaissance que l’on a de ses fournisseurs et de leur(s) activités. Les principales étapes consistent à lister, classifier, adapter le dispositif puis adresser les fournisseurs. Le diagramme ci-dessous représente ces étapes et nous allons détailler, dans cet article, les points principaux de chacune d’elles. 

Macro-processus de mise en conformité des fournisseurs existants

 

Identification des fournisseurs

Que ce soit dans le cadre du RGPD ou du Vendor Risk Management en général, le point de départ est de construire ou récupérer son référentiel de fournisseurs. Le RGPD peut être considéré comme une opportunité pour la construction d’une telle base.

Dans les organisations, les sources peuvent être variées et les référentiels multiples. Il faudra cependant penser cette base pour être consultée et mise à jour par différents acteurs :

Les acteurs de la mise en conformité des fournisseurs

 

Chacun de ces acteurs aura un rôle dans l’alimentation initiale du référentiel mais aussi dans le processus de mise en conformité lui-même. On pourra ainsi, par exemple, confier aux achats : la communication. Au juridique : la signature et la vérification des contrats etc.

 

Vérification de l’éligibilité et classification

Tous les fournisseurs d’une entreprise ne sont pas nécessairement concernés par le RGPD : ceux qui ne manipulent pas de données personnelles, les partenaires traitant des données pour leur propre compte (ex : l’entreprise de nettoyage de voiture mise à disposition dans le parking salarié), ceux qui ne traitent pas de données de citoyens ou résidents de l’Union Européenne, ceux ayant déjà signé des clauses suffisantes…

On pourra même donner une criticité RGPD à un fournisseur afin de les traiter par ordre de priorité ou de déterminer le risque légal ou business. Car oui, même si nous parlons de réglementation, l’aspect opérationnel pourra toujours interférer dans ce processus.

Enfin, il conviendra de classifier les fournisseurs par typologie d’activité si des dispositions particulières peuvent lui être appliquées (ex : un fournisseur d’infrastructure devra se plier à certaine norme technique de sécurité des réseaux qu’un prestataire de sureté des locaux et personnes n’aura pas nécessairement).

 

Création des packages et adressage des fournisseurs

En fonction de l’ensemble des éléments ci-dessus (typologie, criticité, nature de la relation), on constituera un package de mise en conformité. Chaque combinatoire donnera potentiellement lieu à un modèle d’avenant. Il faut donc garder le niveau adéquat d’adressage mais aussi veiller à ne pas trop le complexifier au risque d’avoir un nombre important de combinatoire.

L’avenant sera ensuite adressé au fournisseur qui pourra avoir des questions et remarques, concernant les différents aspects du contrat et donc pour les différents acteurs (juridique, sécurité…) évoqués plus haut. On tracera ensuite la réponse puis la signature de l’avenant, en prenant les actions adéquates, mais pas toujours simple, en cas de refus. Dans ce dernier cas, il faudra penser, dès le cadrage, à définir le processus d’escalade.

Bien sûr, en fonction de la quantité de fournisseur à adresser, on pourra opter pour un workflow et une solution automatisée pour la constitution des documents, l’envoi, le suivi des remarques, des réponses et des signatures.

 

En conclusion

Comme vous avez pu le constater, les actions sont nombreuses et la communication très importante. Pour agir sur l’ensemble du processus et coordonner les différents acteurs, il faudra y dédier un suivi à part entière. Toujours en fonction du nombre de fournisseur à adresser, un tableau de bord pourra vous aider à analyser votre flux et à prendre les mesures nécessaires pour le faire avancer.