RGPD et PME : comment vous mettre en conformité ?
Les PME, les TPE et même les micro-entreprises sont visées par le RGPD ! Quelle que soit la taille de votre entreprise, vous pouvez être concerné par le Règlement Général pour la Protection des Données.
Concrètement, comment savoir si votre PME est concernée par le RGPD ? Quelles sont les premières étapes de la mise en conformité ? Comment assurer la pérennité de la protection des données traitées une fois ces premiers chantiers passés ?
La question de la mise en conformité avec le RGPD est à la fois source de stress pour les dirigeants de PME et un terrain d’opportunités. En effet, le RGPD assure une meilleure protection des données de vos utilisateurs, mais aussi de votre entreprise en général. Cela vous protège des attaques, fuites ou autres situations critiques et vous donne un avantage comparatif, notamment par rapport aux sociétés non-européennes, en raison du niveau de sécurité offert à vos utilisateurs.
Je suis dirigeant d’une TPE/PME : suis-je concerné par le RGPD ?
À la question êtes-vous concerné ou non et de quelle ampleur est votre « exposition » au RGPD, cela va dépendre uniquement de la nature de votre activité.
Très concrètement, le RGPD distingue deux types d’activités pouvant entrer sous son contrôle :
- d’une part, les sociétés qui collectent et traitent un grand nombre de données directement. C’est le cas des agences immobilières très contrôlées par la CNIL qui recueillent un certain nombre d’informations personnels sur leurs clients. C’est également le cas des entreprises e-commerce, qui recueillent sur internet un grand nombre de données sur leurs clients, notamment à des fins marketing. Ensuite, c’est le degré de sensibilité et le volume de données traitées qui va déterminer quel est le niveau de risque juridique vis-à-vis de la CNIL et du RGPD ;
- d’autre part, les sociétés qui traitent, stockent ou utilisent de la donnée pour le compte d’une autre entreprise. Attention, cette notion est plus large qu’il n’y paraît. Il n’est pas nécessaire que le traitement de la donnée soit votre métier, mais plutôt que le service que vous rendez à la société cliente implique que vous utilisiez à un moment la donnée des utilisateurs. Dans ce cas, vous êtes considéré comme sous-traitant visé par le RGPD.
Si vous faites partie de ces cas de figure, reste à déterminer concrètement comment assurer la conformité de votre PME.
Mettre ma PME en conformité avec le RGPD : planifier et agir !
Le RGPD implique un certain nombre de changements dans la gestion de la donnée pour les PME. La démarche de mise en conformité peut être plus ou moins difficile et complexe selon le degré de sensibilité de la donnée traitée et son volume. Il est conseillé de se reporter à la fiche conçue par la CNIL pour les PME.
La première étape consiste à réaliser un état des lieux de votre activité et des processus de traitement des données qui existent dans votre société. Comment collectez-vous la donnée ? Où est-elle stockée ? Comment sécurisez-vous les informations ? Combien de temps conservez-vous les données ? Répondre à ces questions vous permettra de dresser la liste des éléments à modifier et des processus à mettre en place.
Le traitement de la donnée n’est pas votre métier ? Nous avons rédigé un récapitulatif en 3 minutes sur le RGPD pour les nuls pour vous aider.
Une fois cet état des lieux établi, vous pourrez engager un plan d’action pour transformer les pratiques qui doivent l’être dans votre entreprise. Il existe de nombreuses solutions pour sécuriser la donnée et plus généralement pour assurer votre conformité. À vous de décider quelles sont les meilleures pratiques pour limiter au maximum votre risque et pour remplir vos objectifs métier.
Il peut être nécessaire, voire obligatoire, de nommer un DPO en charge du RGPD dans votre entreprise. Ce n’est pas toujours le cas et cela dépend encore une fois du volume d’informations traitées et de leur sensibilité. Le DPO pourra vous aider à mettre en place les chantiers nécessaires.
La nouvelle vie de ma PME avec le RGPD
Votre PME est conforme au RGPD, et après ? Le RGPD pose un cadre que les PME doivent respecter dans la durée. La conformité avec le RGPD implique non seulement des changements au moment de son application, mais également une vigilance de long-terme. C’est notamment le cas dans le domaine de la sécurité de la donnée : assurer des procédures de chiffrement de donnée, par exemple, permet de gérer l’accès à la donnée, de sécuriser l’information, et d’assurer sa conservation dans le respect du RGPD sur le long-terme. De plus, les risques techniques évoluent au rythme des nouvelles stratégies mises au point par les cybercriminels, entre autres. Mettre en place une veille technique et juridique est donc indispensable.
Enfin, sachez que le RGPD impose un modèle d’accountability. Cela signifie que, si les procédures de déclaration à la CNIL ont été modifiées et largement allégées, vous devez être en mesure de donner à tout moment la preuve que les démarches de mise en conformité ont été lancées ou sont en place. Cela signifie aussi que ces chantiers ne sont pas totalement terminés. La CNIL est aussi là pour vous accompagner dans l’application du RGPD.
Better Seald than sorry.