Le RGPD : un enjeu aussi pour les TPE !

18/10/2018

Le règlement général sur la protection des données (RGPD) renforce les droits des citoyens européens sur la maîtrise de leurs données personnelles. Si le règlement a obligé les entreprises à prendre les mesures nécessaires avant le 25 mai 2018 pour sécuriser et renforcer leur politique de protection des données à caractère personnel, nombreuses sont celles qui ont pris du retard. L’objectif est pourtant majeur : plus de transparence et de clarté sur l’usage des données privées par les entreprises, quelle que soit leur taille.

Le RGPD : un enjeu qui vous concerne aussi

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle est une information concernant une personne physique identifiée ou identifiable (directement ou indirectement) : nom, prénom, photo, email, localisation, numéro de téléphone, de Sécurité sociale, adresse IP… Les éléments propres à son identité physique, physiologique, psychique, génétique, économique, sociale ou culturelle sont également des données personnelles. En France, c’est la loi Informatique et Libertés, modifiée récemment pour être alignée avec le RGPD, qui s’applique en matière de protection des données.

 

Quelles conséquences pour les TPE ?

Avec le déploiement du RGPD en Europe, les entreprises doivent relever un double défi : rassurer leurs clients sur l’utilisation de leurs données personnelles et optimiser la gestion de ces données pour préserver leur activité économique. La mise en place du RGPD au sein des petites entreprises est une mission délicate, en raison du coût et des ressources employées. Les TPE sont tout autant concernées que les grandes entreprises. Même si votre entreprise n’est pas spécialisée dans le digital, elle exploite certainement des données : les fichiers de votre personnel ou votre fichier client par exemple. Les adresses mail professionnelles sont des données personnelles et sont soumises elles aussi au règlement européen. Attention également aux données issues des réponses à un questionnaire non anonyme.

Afin de vous faciliter la tâche et d’économiser du temps, vous pouvez faire appel à un consultant extérieur, qui vous aidera à être conforme au règlement. Respecter les directives du RGPD a de nombreux avantages. Cela vous permet :

  • de renforcer la confiance que vous portent vos clients ;
  • d’optimiser vos processus internes et de formaliser vos pratiques ;
  • d’améliorer la sécurité de vos données ;
  • d’avoir une vision d’ensemble de vos données et de leurs traitements pour savoir si ils sont rentables et si les efforts que vous déployez pour les collecter sont nécessaires.
C’est donc une contrainte qui pourra donc devenir une opportunité pour votre entreprise et son image auprès de vos clients. Selon plusieurs sondages de l’IFOP, 77 % des Français pensent que la transparence des entreprises dans l’utilisation de leurs données personnelles entrera à l’avenir dans leurs critères d’achat 1. De plus, 81% disent
être attentifs au traitement qui est fait de leurs données 2.
 
Les données que vous collectez font partie intégrante de votre activité économique : elles doivent être de plus en plus structurées, car leur quantité doit être limitée :« Les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités », précise l’article 5 du RGPD.
 
C’est ce que l’on appelle le principe de minimisation des données. Vous devez donc faire le tri et effacer les données personnelles « non-obligatoires ». Il vous est possible de nommer un salarié qui se chargera de cette tâche si vous ne souhaitez pas faire appel à un prestataire extérieur.

Mise en garde de la CNIL

En revanche, si vous souhaitez faire appel à un prestataire extérieur, sachez que la CNIL met en garde contre les tentatives d’arnaques de faux “experts RGPD”, dont les TPE sont les premières victimes. Si vous souhaitez être conseillé, vous pouvez contacter la CNIL au 01 53 73 22 22.
 
La CNIL met aussi à votre disposition plusieurs fiches pratiques rappelant les bases de la protection des données, sur son site www.cnil.fr

Consentement et amendes

Le contrôle de ces obligations devient plus complexe lorsque différentes catégories de données sont collectées ​séparément. À toutes les sources d’informations (métiers, prestataires...) devra être associée la preuve d’un consentement. Le produit ou le service devra également être en conformité avec le RGPD tout au long de son cycle de vie.
 
ll est donc nécessaire de revoir les contrats, en ajoutant des clauses spécifiques au RGPD avec vos sous-traitants, si vous en avez.
N’oubliez pas, les citoyens ont maintenant le droit de retirer leur consentement (article 7 du règlement), de faire modifier leurs données ou de demander un recueil exhaustif des informations traitées par l’entreprise.

 

Alors que le règlement est entré en application depuis le mois de mai 2018, le chantier apparaît toujours aussi complexe pour les très petites entreprises. Mais rassurez-vous, il n’est pas trop tard !

L’important est de compléter au plus vite votre procédure de mise en conformité et d’éviter ainsi des injonctions, des mises en demeure ou des avertissements publics de la CNIL.

Pour rappel, le non-respect du RGPD peut engendrer une amende allant de 2 à 4 % de votre chiffre d’affaires. De quoi être attentif à ces obligations... 

 

1 Étude de l’IFOP, février 2018 
2 Enquête de l’IFOP, mai 2018

 

Information non-contractuelle à caractère publicitaire. Ces informations sont données à titre purement indicatif dans un but pédagogique et préventif. La compagnie ne saurait être tenue responsable d’un préjudice d’aucune nature lié aux informations fournies.