PME : comment relever le défi imminent du RGPD ?

Avec une entrée en vigueur prévue le 25 mai, le Règlement général sur la protection des données (RGPD) vise à répondre à un enjeu majeur de société et offrir une meilleure protection de leurs données aux Européens.

Parmi l’ensemble des entreprises qui doivent assurer leur mise en conformité, les PME trainent de loin un retard considérable.

Le scandale Cambridge Analytica a mis en lumière une nouvelle fois le manque de protection autour de nos données personnelles. Cet exemple récent visant Facebook a ainsi rappelé à chacun que les données des utilisateurs, stockées aux États-Unis, appartiennent directement au réseau social. Y compris les photographies postées par les utilisateurs.

Les données personnelles sont en effet régulées de manière très disparate par des lois qui ne tiennent pas toujours compte des sensibilités de chaque pays. Une situation qui, du point de vue européen, ne manque pas d’interpeler ! La Commission européenne s’est ainsi emparée de la question et a choisi de légiférer. L’entrée en vigueur très prochaine du RGPD répond donc à une véritable nécessité et a de quoi nous réjouir. La logique de cette réglementation est d’ailleurs très saine : elle instaure le fait que les données personnelles appartiennent à leur propriétaire et seront seulement « prêtées » aux entreprises qui en seront donc les garantes.

Concrètement, le RGPD présente trois facettes: l’information des utilisateurs, la sécurisation des données et la responsabilisation des entreprises. La première d’entre elles permettra notamment, sur chaque site, d’expliquer aux utilisateurs ce qu’est une donnée personnelle et comment elle sera collectée et utilisée. L’entreprise devra être en mesure de prouver que la personne qui lui a «confié » sa donnée personnelle était consentante. Cette réglementation va aussi redonner tout son sens à la CNIL, qui depuis plusieurs années avait perdu son pouvoir initial pour devenir un organe de répression peu crédible. Réinvestie de sa mission et d’un important pouvoir de sanction, la CNIL devrait être en mesure de faire appliquer ce règlement de manière efficace.

La clé pour les PME : avancer pas à pas

Toutefois, la mise en place de cette réglementation constitue un défi pour certaines entreprises. 67% d’entre elles estiment qu’elles ne seront pas prêtes le 25 mai, date à laquelle le règlement entrera en vigueur et où toutes les entreprises européennes, ou traitant avec l’Europe, devront être conformes aux prescriptions du règlement. Un certain nombre d’entre elles ne sont même pas au courant de cette nouvelle réglementation.

Les entreprises de petite taille sont les plus concernées par ces difficultés de mise en place. Pour répondre à cet enjeu, la CNIL et Bpifrance ont publié un guide pratique pour les aider à se conformer avec le nouveau règlement. Ce guide pédagogique de 32 pages vise à rassurer et aider les entreprises dans
leurs démarches. Sur son site, la CNIL met également des modèles d’inventaires à disposition des entreprises et un modèle de questionnaire pour l’inventaire des traitements de données personnelles.

Bien que l’entrée en vigueur du RGPD arrive à grands pas, le meilleur conseil à suivre reste de ne pas se précipiter ! Il est en effet primordial de bien comprendre comment cette nouvelle norme va s’intégrer dans le quotidien des entreprises. La première responsabilité des dirigeants est donc de donner du temps à leurs équipes de s’approprier le sujet. Avec le RGPD tout le monde est concerné: il s’agit de prendre conscience collectivement de ce changement de logique. La mise en place de cette nouvelle réglementation se fera donc avec méthode, étape par étape. La première d’entre elles sera notamment de faire l’inventaire des données personnelles collectées et de nommer un « DPO » (Data Protection officer) qui sera en charge de mettre en œuvre la sécurisation et de la protection des données. Si déjà cet inventaire est fait, les PME pourront prouver leur bonne foi. Pas de panique : il est plus que probable que la CNIL saura faire preuve de tolérance dans un premier temps envers les entreprises, notamment les plus petites, qui auront commencé à relever le défi.