Votre TPE-PME est-elle conforme au RGPD ? 

Plus de deux ans après son adoption en mai 2018, les principes du Règlement Général sur la Protection des Données RGPD demeurent toujours un peu flous pour beaucoup de dirigeants de TPE-PME.

Ce texte de loi européen vise à protéger les données à caractère personnel des personnes qui résident en Europe et plus globalement des individus qui vivent dans un pays membre de l’Union européenne. 

RGPD : Qu’est-ce qu’une donnée personnelle ? 

Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Une personne peut être identifiée directement (nom, prénom) ou indirectement (un numéro de téléphone, une donnée biométrique…). 

Qui se charge en France de veiller à la mise en conformité par les organisations du RGPD ? 

Le règlement européen entend responsabiliser les organisations qui sont amenées à traiter ce genre de données.

En France, c’est la CNIL (pour Commission Nationale de l’Informatique et des Libertés) qui est chargée de veiller au respect des principes du RGPD par les organisations publiques ou privées. 

RGPD : les TPE-PME sont-elles concernées ? 

Si le RGPD s’applique à toutes les entreprises, les TPE/PME dont le nombre de salariés est inférieur à 250 sont dispensées de certaines obligations comme la consignation de leurs activités de traitement dans un registre.

Si la mise en application du RGPD par les TPE/PME peut irriter certains dirigeants, cette mise en conformité comporte de nombreuses opportunités, notamment redonner confiance à vos prospects et clients avec une meilleure gestion des données collectées. 

  • Si elles collectent, stockent, utilisent des données à caractère personnel, dans ce cas, les entreprises sont qualifiées de « responsables de traitements ». 
  • Si elles traitent des données à caractère personnel pour le compte d’autres entreprises, dans ce cas, les entreprises sont « sous-traitantes ».  Le RGPD si redouté par beaucoup de TPE-PME peut aussi s’avérer être une chance. En effet, sa conformité par votre entreprise sera perçue par vos prospects et clients comme un gage de transparence et de confiance.

Or, 59 % des Français déclarent ne pas être prêts à partager leurs données personnelles en ligne selon un sondage réalisé auprès de 1 000 Français par Unisys, un groupe américain spécialisé dans l’IT qui a lancé un large sondage dans 15 pays sur les préoccupations des utilisateurs au sujet de la sécurité des données personnelles. 

Quelles sont les étapes clés pour la mise en conformité du RGPD par les PME ? 

1)    Mener une étude « flash » d’exposition de l’entreprise au RGPD

  Il va s’agir de déterminer les responsabilités de votre TPE/ PME en tant que Responsable de Traitements et en tant que sous-traitant dans tous les secteurs stratégiques de l’entreprise (juridique, organisationnel, business, informatique).  

2)    Etablir un état des lieux RGPD 

Si l’étude flash vous permet de « cartographier » l’ensemble de vos traitements, il va falloir désormais comparer votre manière de faire avec les exigences du RGPD

3)    Le plan d’action 

Cette dernière étape va consister dans l’élaboration d’un plan d’action par traitement. Autant d’actions qui seront regroupées par thématique : 

  • Actions juridiques (contrats de vente et de travail, mentions légales…)
  • Actions informatiques (sécurité…)
  • Actions organisationnelles (nomination d’un DPO ou délégué à la protection des données personnelles…)
  • Actions envers les sous-traitants ou partenaires (cabinets comptables, fournisseurs, éditeurs de logiciels). 

Quelles sont les obligations auxquelles sont tenues les TPE-PME pour être en conformité avec le RGPD ? 

Certaines obligations doivent être suivies scrupuleusement par les PME et les TPE, en vertu de l’article 30 du Règlement Général sur la Protection des Données.

La transparence 

Les entreprises sont tenues d’une obligation de transparence et d’utilisation appropriée des données personnelles lorsqu’elles procèdent à un traitement de données.

Il s’agit d’une opération ou d’un ensemble d’opérations qui porte sur des données personnelles quel que soit le procédé utilisé (collecte, conservation, adaptation, modification…). 

S’agissant de la transparence, l’entreprise doit rendre visible les informations concernant le responsable du traitement des données (coordonnées et identité) et préciser également la quantité de données qu’elle entend collecter.

Le responsable du traitement de données ne devra collecter que les données strictement nécessaires au traitement, tout en précisant aux usagers leur finalité. 

Précisons également qu’un traitement de données doit avoir un objectif, une finalité, un but légitime au regard de votre activité professionnelle. 

La finalité du traitement est l’objectif principal de l’utilisation de données personnelles. Voici quelques exemples de finalité : gestion des recrutements, gestion des paies… 

Le droit d’accès aux données personnelles collectées 

Les usagers ont le droit d’accéder à leurs données comme le prévoit l’article 15 du RGPD. Les entreprises doivent : 

  • Communiquer aux personnes concernées la finalité de leurs données 
  • Fournir à la personne concernée un exemplaire de ses données personnelles qui sont la cible du traitement 
  • Communiquer à la personne concernée la durée pendant laquelle ses données personnelles seront conservées 

Le droit à la rectification 

Obligation pour les sociétés de donner le droit aux personnes concernées de modifier leurs données personnelles en cas d’erreur. 

Le droit à la rectification 

Le droit d’opposition  Il permet à toute personne de s’opposer à la collecte de ses données personnelles. 

Le droit à l’oubli 

Les entreprises ne doivent conserver les données personnelles des usagers que durant la période nécessaire au traitement de celles-ci. Après ce délai, le responsable de traitement a l’obligation de les effacer et d’en notifier le propriétaire des données concernées. 

La nomination d’un DPO 

Il est à noter que les TPE et PME doivent penser à la nomination d’un DPO (Data Protection Officer), un délégué à la protection des données personnelles. Son rôle est de protéger les données à caractère personnel au sein d’une entreprise.

Le DPO a très souvent un profil singulier puisqu’il est à la fois un juriste qui doit se tenir au courant des dernières règlementations. Il est aussi un informaticien capable de comprendre et de suivre la création de traitements de données. 

RGPD : quels avantages pour votre TPE/PME ? 

Le RGPD permet une meilleure utilisation des données à caractère personnel. Or, désormais les données sont au cœur de la chaîne de création de valeur des entreprises.

Bien gérées et sécurisées, elles assurent une meilleure efficacité et une meilleure compétitivité aux entreprises. Elles permettent de personnaliser et de conforter la relation avec les clients, de conquérir de nouveaux marchés. 

La perte de données ou le vol de données font souvent les gros titres des médias. Les TPE et PME en sont souvent les principales victimes car elles se désintéressent de leur sécurité informatique et font figure de proies faciles pour les hackers.

Beaucoup trop souvent victimes de cybercriminels, les TPE et PME ont l’occasion de mettre en place ou de repenser leur politique de cybersécurité avec l’application du RGPD. 

Votre mise en conformité au RGPD vous permet également de mieux gérer votre entreprise.

Avec le développement de votre entreprise, votre volume de données augmente et demande la mobilisation accrue de moyens humains et techniques pour les gérer, les mettre à jour.

Or le RGPD impose la minimisation des données, vous ne collectez que les données dont vous avez besoin.

Appliquer ce principe du RGPD vous permet de limiter votre volume de données et de récolter les plus pertinentes pour le développement de votre activité. 

En quoi consiste la mise en conformité au RGPD au quotidien pour une TPE-PME ? 

Les TPE/PME doivent tenir un registre de traitement de données à caractère personnel. Il s’agit d’un document qui va renfermer les données collectées comme : 

  • Les spécificités des données personnelles traitées 
  • La finalité des données collectées
  • La durée de conservation des données collectées 

La sécurisation des données 

Elle va s’effectuer de différentes manières, entre autres, il faut : 

  • Mettre à jour les logiciels et les antivirus
  • Changer les mots de passe et codes d’accès
  • Chiffrer et crypter les données personnelles collectées pour les rendre inutilisables en cas de vol

Si vous ne savez pas comment organiser votre registre de traitement de données à caractère personnel, vous pouvez vous appuyer sur le modèle de registre proposé par la CNIL sur son site web.

Pour chaque activité recensée, vous devrez préciser la finalité, qui a accès aux données, le destinataire et la durée de conservation de ces données.

Le registre doit être placé sous la responsabilité du dirigeant de l’entreprise. 

Pensez à faire un tri dans vos données, sont-elles nécessaires à vos activités ? Avez-vous la certitude que seules les personnes habilitées ont accès aux données dont elles ont besoin ? Conservez-vous vos données au-delà de ce qui est nécessaire ? 

En tant que dirigeant de TPE, vous devez avoir en tête l’importance de minimiser la collecte de vos données en éliminant de vos formulaires de collecte et vos bases de données toutes les informations inutiles et permettez aux personnes d’exercer facilement leurs droits ! 

Quelles conséquences en cas de non-conformité au RGPD ? 

La Commission Nationale Informatique et Libertés (CNIL) peut sanctionner les sociétés en cas de non-conformité au RGPD.

Les sanctions sont graduelles : du simple avertissement à la sanction administrative en passant par l’amende ou l’emprisonnement. 

Les sanctions administratives

Prévues à l’article 83 du Règlement européen, elles dépendent de la gravité de l’in fraction. L’entreprise doit payer une amende qui représente 2 % de son chiffre d’affaires mondial ou une amende de 10 millions d’euros en cas de : 

  • Manquement aux obligations de la part du responsable du traitement ou de la part du sous-traitant
  • Manquement aux obligations de la part de l’organisme de certification 
  • Manquement aux obligations de la part de l’organisme responsable du respect des codes de conduite 

Pour non-respect ou mauvaise application du Règlement Général sur la Protection des Données, l’entreprise concernée doit s’acquitter d’une amende représentant 4 % de son chiffre d’affaire mondial ou d’une amende de 20 millions d’euros. Cette sanction administrative est la conséquence de manquements suivants : 

  • Violation du consentement de la personne à fournir ses données personnelles
  • Non-respect des droits des personnes (droit à l’oubli, droit d’accès, droit de rectification…)
  • L’entreprise confie les données personnelles de ses clients à une organisation internationale ou à un pays quelconque

Les sanctions pénales 

Dans la majorité des cas, les sanctions pénales peuvent prendre la forme d’un emprisonnement ferme jusqu’à 5 ans et une amende de 300 000€. Des sanctions qui doivent inciter les TPE-PME à se conformer aux principes du RGPD. 



Loren
Manager Projets Digitaux
Loren

Vous avez un projet de création de site internet ? Confiez votre projet web à Useweb, une agence spécialisée dans la création de site web.

Contactez-nous

Alliée de votre stratégie digitale, Useweb, votre agence web à Rennes