Le nouveau règlement européen sur la protection des données personnelles ou RGPD s’applique à toutes les entreprises, du secteur public ou privé. Il leur impose de respecter les droits et libertés des personnes concernées, qui sont les ressortissants européens. En effet, les entreprises sont amenées à collecter des données massives au quotidien pour optimiser leurs offres pour les clients.

Or, la protection de la vie privée n’est pas toujours garantie car ces données à caractère personnel peuvent tomber entre les mains de quiconque. C’est justement pour limiter ces risques que le RGPD a été mis en place. Quelles obligations s’appliquent alors aux PME ?

 

 

Les actions obligatoires pour les PME

Pour se conformer aux nouvelles obligations du Règlement Général sur la Protection des données, les PME doivent entamer les actions suivantes :

  • La mise en conformité contractuelle et juridique
  • La gestion du statut de « sous-traitant » s’il est constaté, pour rassurer les personnes concernées
  • L’application des mesures techniques et organisationnelles qui garantissent la protection des données personnelles
  • La désignation d’un Délégué à la protection des données ou Data Protection Officer ou DPO (salarié ou prestataire externe)
  • L’instauration d’une gouvernance ajustée
  • La gestion itérative du plan de mise en conformité

 

 

Les étapes de mise en conformité RGPD pour les PME

Le processus de mise en conformité se divise en 3 étapes clés pour les PME :

 

La réalisation d’une étude « flash » de l’exposition de l’entreprise au RGPD

Il s’agit d’une étude de départ pour l’identification des responsabilités de la PME en tant que responsables de traitement et sous-traitants. Cette action est réalisée sur toutes les axes : informatique et sécurité, juridique, business et organisationnel. En gros, les acteurs de la PME se réunissent au cours d’une journée.

 

 

La réalisation d’un état des lieux RGPD

Un état des lieux RGPD est établi selon les éléments d’exposition au RGPD. Cette cartographie des traitements permet de déterminer l’importance de l’écart entre l’existant et les exigences actuelles de la nouvelle loi Informatique et Libertés. Elle permettra de déterminer plus facilement les mesures de sécurité à instaurer. Une étude des risques est également réalisée pour déterminer les priorités en vue d’assurer la mise en conformité. Trouver une information complémentaire sur la mise en conformité RGPD PME.

 

 

Le développement d’un plan d’action

Suite à l’étude flash et à l’état des lieux, un plan d’action est élaboré pour chaque traitement. Ces actions sont ensuite rassemblées par thématiques :

  • Actions informatiques
  • Actions contractuelles et juridiques
  • Actions par rapport aux partenaires ou aux sous-traitants
  • Actions organisationnelles
  • Actions par rapport aux clients

 

 

L’importance d’être en conformité pour les PME

Bien que les entreprises (dont les PME) doivent mettre en place différentes actions pour assurer la conformité avec le RGPD, ce nouveau règlement va rassurer les citoyens européens sur l’utilisation de leurs données. En effet, il garantit le respect des droits des personnes vis-à-vis de ces données comme le droit d’accès ou le droit à la portabilité.

Les nouvelles obligations vont donc constituer un facteur de transparence. Il s’instaurera par la suite une meilleure relation de confiance entre les personnes physiques concernées et les organismes qui collectent des données sensibles. Aujourd’hui, toute fuite ou violation de données n’est plus admissible. Si cela se produit toutefois, la CNIL ou l’autorité de contrôle française doit en être avisée dans les plus brefs délais pour limiter les dégâts.

D’ailleurs, bien que les actions soient plus allégées pour les PME, les obligations demeurent bel et bien et toute entreprise qui n’assure pas la conformité avec le RGPD est passible de lourdes sanctions.

 

Les nouvelles obligations vont donc constituer un facteur de transparence. Il s’instaurera par la suite une meilleure relation de confiance entre les personnes physiques concernées et les organismes qui collectent des données sensibles. Aujourd’hui, toute fuite ou violation de données n’est plus admissible. Si cela se produit toutefois, la CNIL ou l’autorité de contrôle française doit en être avisée dans les plus brefs délais pour limiter les dégâts.

D’ailleurs, bien que les actions soient plus allégées pour les PME, les obligations demeurent bel et bien et toute entreprise qui n’assure pas la conformité avec le RGPD est passible de lourdes sanctions.