La conformité légale est un gage d’indépendance technologique | Décryptage dans l’USF MAG n°57

Ces dernières années, la complexité des projets, des technologies et les risques (cyber)sécurité poussent de plus en plus d’entreprises vers le choix des services Cloud, voire l’externalisation de processus.

Parallèlement, de nombreuses réglementations ont enrichi le corpus légal du numérique : la protection des données personnelles (RGPD), la protection des données non-personnelles (Data Act), Data Governance Act (DGA), Digital Service Act (DSA), Digital Marketing Act (DMA), l’IA Act, la RSE (Responsabilité Sociétale des Entreprises), la (cyber)sécurité, les conditions de travail (télétravail), le secret des affaires et la dématérialisation des factures qui arrive à grands pas…

En quoi la conformité légale constitue-t-elle un risque ?

Jusqu’ici théorique, la conformité légale devient un risque concret avec des effets visibles sur le Business. D’autant que vos prestataires portent une partie, souvent importante, de votre propre conformité légale !
L’exemple le plus évident est celui du RGPD : comment une entreprise peut-elle être conforme au RGPD lorsqu’elle choisit un prestataire Cloud qui sous-traite l’hébergement des données personnelles à un acteur soumis au Cloud Act ? La réalité est que vos prestataires sont les premiers acteurs de votre conformité légale. S’ils ne sont pas conformes, vous ne le serez pas non plus !

Quel est le rôle du contrat ?

Le contrat est encore trop souvent perçu comme une contrainte administrative et non comme une réponse au besoin de conformité légale, si bien qu’il est rarement construit ou négocié sur mesure, adapté au contexte et au projet.
Or, les temps changent, les états d’esprit commencent à changer, la RSE prend sa place, le RGPD se déploie et les réglementations applicables aux technologies ne cessent de croître, les technologies se complexifient, les entreprises se transforment.
Les contrats IT doivent aussi se transformer ! En effet, comment assurer votre conformité légale, si vos prestataires IT ne sont pas eux même conformes ?

Comment assurer l’efficience et la pérennité d’un projet IT si le prestataire, le fournisseur ou l’éditeur sont insensibles aux objectifs de conformité ?

La relation client / fournisseur doit évoluer vers plus de coordination, au-delà de la collaboration classique, plus d’adaptabilité, d’agilité, d’évolutivité et de pérennité.
De nouvelles dispositions doivent être intégrées au contrat, notamment au sein des clauses de gouvernance, d’audit, de garanties, de responsabilité, de collaboration, de protection des données, de respect de la réglementation et de sécurité ; ces clauses n’ont plus rien à voir avec les clauses classiques.

Faut-il privilégier le sur-mesure ?

Le contrat est l’outil adéquat pour assurer cette conformité transverse et globale, mais uniquement lorsqu’il est rédigé sur mesure. Il faut oublier vos CGV et vos CGA au profit de contrats rédigés et négociés de sorte qu’ils soient adaptés au contexte du client tout en préservant les méthodologies et le business model du prestataire.
Vos prestataires doivent s’engager à remplir leur part de responsabilité ! Les prestataires intègrent encore trop souvent dans leurs contrats des clauses qui justifient leurs défaillances par le comportement du client, ayant ainsi pour effet de déplacer leur propre responsabilité sur la tête du client.

Par exemple, dans un projet Cloud, il vous sera impossible de remplir vos obligations de conformité, notamment relatives au RGPD ou à la sécurité, si vos prestataires ne sont pas eux même conformes. Et il vous sera difficile, voire impossible, de mettre en jeu la responsabilité de votre prestataire Cloud si vous avez signé des clauses qui les exonèrent de cette responsabilité qui est pourtant la leur. Vous ne serez conforme que si votre prestataire l’est aussi !

La conformité légale n’est donc plus une option ?

C’est un outil de performance et de pérennité. Aujourd’hui, les entreprises qui choisissent d’ignorer cette conformité réglementaire prennent le risque de se confronter aux autorités de contrôle, de subir de lourdes sanctions financières et également le risque de mettre en péril leur projet, leur productivité, leur performance et de nuire à leur image auprès de leurs clients.
La conformité légale est un état d’esprit, une culture d’entreprise. Le RGPD a participé, voire insufflé, un changement de culture et d’état d’esprit au sein des organisations. Cette conformité légale multiplie aujourd’hui les questionnements liés à la dépendance avec les prestataires, en particulier ceux qui ne permettent pas d’assurer cette conformité, qu’ils s’agissent d’ERP, d’outils marketing ou de prestations d’hébergement…

Ces questionnements pourraient bien impulser un changement profond d’état d’esprit dans les entreprises et les convaincre d’intégrer la dimension juridique dans la réflexion de leur transformation.
Lorsque les réglementations sortent de leur univers théorique pour devenir une réalité business, elles entrent dans les préoccupations des directions et deviennent des opportunités  : derrière chaque réglementation, il y a toujours un sens : protéger, lutter contre des actes de malveillance, prévenir, anticiper…
Adopter une culture de la conformité règlementaire permet de sortir de la dépendance juridique et pourrait bien impacter la politique de dépendance technologique recherchée par certains prestataires.

Cliquez sur l’article pour le télécharger sous format PDF !

__________________________________________