Menu

RGPD : quelles conséquences pour les PME ?

RGPD

Mieux encadrer la collecte et l’utilisation des données personnelles : tel est l’objectif du Règlement général sur la protection des données personnelles (RGPD) entrant en vigueur le 25 mai. Un texte qui s’impose à toutes les entreprises, PME et TPE comprises.

Un prénom et un nom, une adresse postale, un identifiant de connexion à un site internet, un numéro de sécurité sociale, des éléments concernant les habitudes d’achats, des données de santé… Autant d’éléments qui constituent des données personnelles, permettant d’identifier des individus, dont la collecte et le traitement sont désormais encadrés par le Règlement général sur la protection des données personnelles (RGPD). Un cadre juridique commun à l’ensemble de l’Union européenne qui s’impose à toutes les structures, y compris les entreprises étrangères dès lors qu’elles traitent des données de ressortissants du Vieux Continent.

RGPD: les étapes de la mise en conformité

Première étape pour les entreprises afin d’être en conformité avec le RGPD ? « Réaliser un état des lieux complet des données en leur possession », recommande Julie Trolle, juriste au sein du cabinet d’expertise-comptable CTN, membre du groupement France Défi. Un diagnostic qui constitue une occasion de supprimer toutes les données inutiles. Un référentiel de la Commission nationale Informatique et libertés (CNIL) prévoit des durées de conservation des informations personnelles. Par exemple, pour le CV d’un candidat, c’est deux ans après le dernier contact avec celui qui l’a envoyé et trois ans pour les coordonnées d’un prospect qui n’a jamais répondu aux sollicitations de l’entreprise. « Bientôt, tous les logiciels de collecte et de traitement offriront la possibilité d’une suppression automatique puisqu’avec le RGPD, les sous-traitants, par exemple les hébergeurs, sont désormais tout aussi responsables que leurs clients », précise Julie Trolle. Autre impératif : remettre à plat son son processus de collecte et de traitement. Le principe ? Les données collectées doivent toutes l’être dans un but précis. Leur accès doit aussi être limité aux catégories de professionnels qui en ont besoin pour exercer leur activité. « Les intéressés doivent par ailleurs être informés, par le biais de mention d’information pour lesquelles la CNIL propose des modèles », indique Julie Trolle.

Renforcer sa sécurité informatique

Garantir la protection des données constituant un élément phare du RGPD, il va de soi que la mise en conformité passe aussi par un examen, et si nécessaire un renforcement, de la politique de sécurité informatique de l’entreprise. Une démarche d’autant plus nécessaire lorsque l’activité de l’entreprise implique d’avoir connaissance de données dites « sensibles » parce qu’elles concernent la santé, l’origine ethnique, l’appartenance syndicale ou encore les opinions politiques. Comme l’explique le Guide pratique de sensibilisation au RGPD édité par Bpifrance et la CNIL à destination des PME, les structures concernées doivent alors réaliser une analyse d’impact sur la protection des données, appelée PIA (Privacy Impact Assesment), avant de débuter les opérations de traitement. « Enfin, en cas de transfert des données hors de l’Union européenne, il faut s’assurer que la législation du pays en question prévoit un niveau de protection des données proche de celui de l’Union », complète Julie Trolle. Et en cas de respect de nouvelle réglementation ? Le RGPD prévoit des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel ainsi que la possibilité de rendre public les infractions. Un gros risque en termes d’image.