RGPD et PME dois-je me sentir concerné ?RGPD et PME : dois-je me sentir concerné ? Cela fait maintenant deux ans que le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur, suscitant des remous et s’intégrant rapidement dans les plans de nombreuses organisations européennes. Malgré les amendes considérables et les sanctions infligées à des entreprises de grande envergure, comme Google, de nombreux acteurs de taille modeste pensent à tort que cette réglementation ne les concerne pas.

Or, le RGPD s’applique autant aux grandes entreprises qu’aux PME et aux ETI manipulant des données de toute nature. Se préoccuper du RGPD en tant que PME est nécessaire. Formalizi vous éclaire sur tous les aspects essentiels : l’impact du RGPD sur les PME, les sanctions encourues, et les démarches à suivre pour garantir la conformité règlementaire au sein de petites structures.

1. RGPD : en quoi les PME sont-elles concernées ?

Pour commencer, il est essentiel de rappeler que le RGPD, adopté en 2018, encadre et surveille les opérations de traitement des données personnelles des citoyens européens, visant à contrer les abus de ces pratiques de plus en plus répandus ces dernières années. En France, il renforce certains principes déjà établis dans la loi Informatique et Libertés.

Ce qu’il faut retenir c’est que le champ d’application du RGPD englobe toutes les entreprises opérant dans l’Union européenne et manipulant des données personnelles. Même si une entreprise collecte, stocke ou gère des données d’individus européens, même par l’intermédiaire d’une tierce partie, même si elle est située en dehors de l’Europe, le RGPD s’applique à elle.

Ce point souligne l’importance pour les PME de se considérer concernées ! L’article 24 du règlement stipule clairement que sa portée s’applique indépendamment de la taille de l’entreprise ou de la raison pour laquelle elle utilise ces données.

Nathalie Rouvet Lazare, PDG de Coheris, éditeur de solutions CRM, souligne : « Un ancien candidat ayant envoyé son CV à l’entreprise pour postuler constitue, par exemple, une donnée collectée. »

Une donnée à caractère personnel est une information, que ce soit en format numérique ou papier, permettant d’identifier directement ou indirectement un individu. Elles comprennent les noms, prénoms, adresses e-mails, numéros de téléphone, adresses de livraison, mais aussi les photos, vidéos, ou fichiers audio. Certaines données sont qualifiées de sensibles lorsqu’elles révèlent des aspects ethniques, religieux ou médicaux, par exemple.

2. Quelles obligations le RGPD impose-t-il aux PME ?

La principale évolution introduite par le RGPD concerne l’autorégulation.

Au lieu de solliciter systématiquement l’autorisation de la CNIL avant chaque manipulation de données, une entreprise doit désormais être en mesure, à tout moment lors d’une inspection, de justifier qu’elle traite de manière sécurisée et confidentielle les données personnelles dont elle dispose.

Cette exigence implique la mise en place de certaines procédures au sein de votre PME.

Le RGPD impose aux petites et moyennes entreprises les mêmes obligations qu’à toutes les entreprises et organismes publics. Cependant, en tant que structure de petite taille, et si le traitement des données n’est pas central dans votre activité, vous ne serez pas fortement impactés, pourvu que vous répondiez à trois obligations que nous allons détailler ensuite.

Avoir un registre de traitement des données

D’une part, il est nécessaire de constituer un registre recensant les différents traitements des données collectées, généralement sous forme de fichier Excel. La CNIL propose gratuitement un modèle sur son site web.

D’autre part, il est essentiel de procéder régulièrement à un tri des données personnelles conservées, en actualisant ce registre. Cela implique notamment :

  • Premièrement, éliminez les données inutilisées ou dont la durée de conservation légale est écoulée (habituellement 3 ans) ;
  • Deuxièmement, associez chaque utilisation de données personnelles à l’une des six bases légales établies par la CNIL. Par exemple, lorsqu’une adresse client est collectée pour l’expédition d’une commande, cela relève d’un traitement fondé sur l’exécution d’un contrat.
    Source : [Lien vers la CNIL pour les bases légales]

Se conformer aux obligations de sécurité & transparence

En dernier lieu, il est primordial de mettre en place les dispositifs nécessaires pour respecter les nouveaux droits des citoyens européens, ainsi que pour répondre aux exigences de sécurité et de transparence du RGPD.

Par exemple, pour un programme de fidélité, qu’il soit digital ou sur support papier, il est essentiel de prévoir une case non pré-cochée dans le formulaire d’inscription, permettant au client de consentir explicitement à l’utilisation de ses données. De plus, il est crucial d’informer par une mention claire la manière dont le client peut accéder à ses données ou les supprimer ultérieurement.

Ensuite, il faut penser à conserver une trace des mesures de conformité prises en interne, avec vos partenaires, fournisseurs et prospects, que ce soit sous forme papier ou électronique. Cette documentation pourra servir de preuve de bonne volonté en cas de contrôle de la CNIL.

3. Quelles sanctions en cas de non-conformité ?

Impossible de passer outre : les sanctions prévues font sérieusement réfléchir les récalcitrants au RGPD. Les entreprises risquent des amendes allant jusqu’à 20 millions d’euros en cas de non-respect, une somme considérable pour les PME.

Au-delà de l’aspect financier, l’image de votre entreprise est en jeu. Vos clients vous confient leurs informations en toute confiance. Apprendre que la confidentialité de leurs données est négligée pourrait ternir cette relation de confiance. De plus, des sanctions pénales peuvent également être encourues.

De plus, les PME ne sont plus à l’abri de possibles sanctions de la CNIL. Jusqu’à présent clémente, sa présidente, Marie-Laure Denis, a annoncé un durcissement à partir de cette année. Depuis la mise en œuvre du RGPD, les plaintes enregistrées par la CNIL ont explosé (34% de plus que l’année précédente). Puis, un exemple frappant est l’amende de 20 000 euros infligée le 13 juin 2019 à une TPE de 9 salariés pour une surveillance vidéo permanente de ses employés.

Par conséquent , les PME ne peuvent plus se permettre de négliger le RGPD !

4. Comment mettre en règle ma PME ?

La nouvelle logique du RGPD est simple : collecter, exploiter et conserver le minimum de données nécessaire tout en assurant une transparence accrue sur leur utilisation. Pour beaucoup de dirigeants de PME, la réglementation et la mise en œuvre du RGPD peuvent sembler complexes.

Heureusement, de nombreuses ressources sont disponibles pour vous aider dans votre démarche de conformité. Pour en savoir plus, consultez notre article dédié à ce sujet pour découvrir ces outils et aides pratiques.

Parmi ces ressources, le guide spécifiquement conçu pour les PME par la CNIL est une référence incontournable. Son site regorge de conseils et de recommandations précieuses sur ce sujet délicat. Notamment, un test rapide composé de 14 questions permet d’évaluer le niveau de conformité RGPD de votre PME. De plus, trois fiches pratiques abordent les principaux usages rencontrés dans la plupart des PME, comme par exemple la mise à jour de la politique de confidentialité de votre site et de ses conditions générales d’utilisation et de vente.

Pour conclure sur RGPD et PME, dois-je me sentir concerné

En conclusion, le RGPD doit occuper une place centrale dans les préoccupations des PME. Chaque entrepreneur doit aujourd’hui en être conscient, d’autant plus avec l’accroissement prévu des contrôles de la CNIL.

Pas de stress inutile ! En règle générale, les petites et moyennes structures peuvent adopter quelques bonnes pratiques, présentées dans cet article, pour aborder le RGPD sans trop de complexité.*

Enfin, pourquoi ne pas transformer la contrainte du RGPD en opportunité ? Les mentalités des clients évoluent et ils sont de plus en plus sensibles à la gestion de leurs données personnelles. Les entreprises qui adoptent rapidement une approche « respectueuse de la vie privée » prendront de l’avance sur leurs concurrents. Ne vous laissez pas distancer !

*Ces informations fournissent une première approche et ne peuvent être interprétées comme des conseils juridiques complets. Si vous manipulez régulièrement un volume important de données ou que vous traitez des données sensibles, consultez des professionnels spécialisés dans le domaine.

Ils parlent du blog Formalizi

chambre des métiers et de l'artisanat BPI France chambre de commerce et de l'industrie Greffe des tribunaux de commerceLes échos Challenges université de Lyon Euratechonologies

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *