7 minutes de lecture

Article mis à jour le 8 septembre 2020. 

Deux ans déjà depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (ou RGPD pour les intimes). Quatre lettres qui ont fait beaucoup de bruit et que l’on a rapidement vu s’inscrire dans les feuilles de route de nombreuses organisations européennes.

Cependant, devant l’ampleur des amendes et la taille des entreprises sanctionnées (Google notamment), beaucoup de petits acteurs ne se sentent pas concernés par cette loi. À tort ! Le RGPD concerne tout aussi bien les grands groupes que les PME et ETI qui traitent des données de quelque manière qu’il soit.

Alors, faut-il s’inquiéter du RGPD en tant PME ? Formalizi vous explique tout ce qu’il y a à savoir dans cet article !

Après sa lecture, vous aurez cerné les contours de ce que signifie le RGPD pour les PME, les sanctions appliquées, et comment s’assurer que l’on est bien conforme au règlement quand on est une petite structure.

RGPD et PME : dois-je me sentir concerné ?

Résumé de l’article

Quel est l'objectif du RGPD ?

Le RGPD vise à instaurer un cadre Européen de protection des données personnelles, afin de renforcer les droits des personnes concernées et leur rendre le contrôle de leurs données.

Qu'est-ce qu'un DPO ?

Le Délégué à la Protection des Données (ou DPO en anglais pour Data Protection Officer) est désigné au sein d’une entreprise pour être le responsable du contrôle de la conformité au RGPD.

Qu'est-ce que la CNIL ?

La Commission Nationale de l’Informatique et des Libertés (CNIL) est le référent incontournable en matière de RGPD puisque c’est elle qui veille à son application sur le territoire national. Elle surveille la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés.

Qu'est-ce que le Privacy by Design ?

La notion de Privacy by Design est une approche au cœur des bonnes pratiques prônées par le RGPD . Elle signifie pour les entreprises que tout doit être conçu pour protéger les données.

1. RGPD : en quoi les PME sont-elles concernées ?

Tout d’abord, rappelons que le RGPD est une loi qui encadre et contrôle les traitements des données personnelles des citoyens européens. Elle fut votée en 2018 pour lutter contre les dérives de plus en plus fréquentes de ces dernières années. En France, elle vient renforcer certaines exigences déjà inscrites dans la loi Informatique et Libertés.

Ce qu’il faut tout même retenir, c’est que le spectre du RGPD s’étend à toutes les entreprises qui agissent dans l’Union Européenne et traitent des données personnelles. Il suffit de collecter, de stocker ou de gérer des données d’individus européens, même à travers un tiers, même si l’entreprise n’est pas située en Europe, pour que le RGPD s’adresse à vous.

Cela signifie que les PME doivent bel et bien se sentir concernées ! Pour s’en convaincre, l’article 24 précise que le Règlement s’applique quelle que soit la taille de votre entreprise et quelle que soit la raison pour laquelle vous utilisez ces données.

« Un ancien candidat qui a envoyé son CV à l’entreprise pour y postuler constitue par exemple une donnée collectée » cite Nathalie Rouvet Lazare, PDG de Coheris, éditeur de solutions CRM sur le sujet.

À savoir : une donnée à caractère personnel est une information au format informatique ou papier qui permet d’identifier directement ou indirectement un individu. Ce sont tout simplement des noms, des prénoms, des emails, des numéros de téléphone, des adresses de livraison, mais également des photos, vidéos, fichiers audio… Elles sont dites sensibles lorsqu’elles incluent un caractère ethnique, religieux ou médical par exemple.

2. Quelles obligations le RGPD impose-t-il aux PME ?

Le grand changement apporté par le RGPD est l’autocontrôle. Plutôt que de demander l’autorisation à la CNIL avant chaque traitement de données, une entreprise doit désormais pouvoir justifier à tout moment, en cas d’inspection, qu’elle traite de manière sécurisée et confidentielle les données personnelles qu’elle manipule.

Cela requiert la mise en place de quelques procédures au sein de votre PME.

Le RGPD stipule que les TPE et PME sont soumises aux mêmes règles que toutes les entreprises et organismes publics. Cependant, en tant que petite structure, et si le traitement des données n’est pas au cœur de votre activité, vous ne serez pas trop embêtés tant que vous répondrez à ces 3 obligations :

Avoir un registre de traitement des données

D’une part, vous devez créer un registre de traitement des données collectées, sorte d’inventaire généralement sous forme de fichier Excel. La CNIL met à disposition un template gratuit sur son site.

Faire un tri des données

D’autre part, vous devez régulièrement faire le tri des données personnelles que vous conservez, et le reporter dans le registre. Entre autres il s’agit de :

  • Supprimer les données non-utilisées ou dont le délai de conservation autorisé est dépassé (généralement 3 ans) ;
  • Faire correspondre chaque utilisation de donnée personnelle à l’une des six bases légale établies par la CNIL. Par exemple, quand je collecte l’adresse du client pour lui expédier sa commande, il s’agit d’un traitement fondé sur l’exécution d’un contrat.

Source : https://www.cnil.fr/fr/les-bases-legales

Se conformer aux obligations de sécurité & transparence

Enfin, vous devez mettre en place de quoi être en mesure de respecter les nouveaux droits des citoyens européens et répondre aux obligations de sécurité et de transparence du RGPD.

Par exemple, dans le cadre d’un programme de fidélité, informatique ou papier : une case -non pré-cochée- dans le formulaire d’inscription doit être prévue pour que le client donne son consentement à l’utilisation explicite de ses données. Vous devez aussi informer par une mention la façon dont le client pourra accéder à ses données ou les supprimer par la suite.

À savoir : conservez une trace des démarches de conformité que vous aurez entreprises en interne, avec vos partenaires, vos fournisseurs et vos prospects, sous forme papier ou électronique. En cas de contrôle de la Cnil, vous pourrez ainsi prouver votre bonne volonté.

3. Quelles sanctions en cas de non-conformité ?

Impossible de l’ignorer, le montant des sanctions annoncées fait réfléchir les plus récalcitrants. En cas de non-respect du RGPD, les entreprises s’exposent à des risques de sanctions : jusqu’à 20 millions d’euros d’amendes pour les PME.

Et c’est sans compter le risque pour l’image de votre entreprise. Pensez à vos clients, ils vous font confiance et vous livrent leurs informations. Ils ne seraient pas ravis d’apprendre votre légèreté en matière de confidentialité de leurs données personnelles. En outre, vous risquez également des sanctions pénales.

Enfin, les PME ne doivent plus se considérer à l’abri d’éventuelles sanctions de la CNIL, clémente jusqu’à présent, mais dont la présidente, Marie-Laure DENIS, annonce un durcissement à partir de cette année.

Par ailleurs, depuis la mise en place du RGPD, la CNIL a enregistré une forte hausse des plaintes (34% de plus que l’année précédente, et le 13 juin 2019, elle infligeait une amende de 20 000 euros à une TPE de 9 salariés, qui avait placé ses collaborateurs sous vidéosurveillance permanente.

Alors, plus question pour les PME de prendre le sujet du RGPD à la légère !

4. Comment mettre en règle ma PME ?

La nouvelle équation du RGPD est claire : un minimum de données collectée, exploitées et conservées et plus de transparence sur leur utilisation. Mais comment faire concrètement ? Beaucoup de dirigeants de PME peuvent se sentir perdus face à la réglementation et à l’application du RGPD.

De nombreuses aides et outils existent pour vous aider dans votre mise en conformité, nous vous invitons à aller consulter l’article dédié que nous avons rédigé à ce sujet !

On citera tout de même le guide spécialement conçu pour les PME par la CNIL, dont le site est une véritable mine d’or en termes de conseils et de recommandations sur ce sujet épineux. Parmi eux on retiendra notamment :

  • Un test concret et rapide (14 questions) permettant de mesurer le niveau de conformité RGPD de votre PME.
  • Trois fiches pratiques couvrant les principaux usages dans les plupart des PME. (un exemple de sujet abordé : la mise à jour de la politique de confidentialité de votre site, ainsi que ses conditions générales d’utilisation et de vente)
Banque

Pour conclure, le RGPD doit être au cœur des préoccupations des PME. Tout entrepreneur doit aujourd’hui s’en convaincre, d’autant que les contrôles de la CNIL vont être amenés à se multiplier.

Mais pas de panique ! Généralement, en tant que petite ou moyenne structure, il vous suffit simplement d’intégrer un ensemble de quelques bonnes pratiques, que nous vous avons exposées dans cet article. Ces conseils devraient vous permettre de ne pas trop vous cassez la tête avec le RGPD.*

Enfin, et si la contrainte du RGPD se transformait en opportunité ? On assiste aujourd’hui à une révolution dans l’esprit de vos clients, de plus en plus attentifs à l’exploitation de leurs données personnelles. Ceux qui adopteront rapidement un attitude « privacy friendly » prendront une longueur d’avance sur leurs concurrents. Ne vous laissez pas distancer !

*Attention, ces informations sont une première approche, et ne peuvent être interprétées comme un véritable conseil juridique. Si vous maniez au quotidien un nombre important de données, ou que vous traitez des données sensibles, nous vous recommandons de vous rapprocher de professionnels du sujet.

Commencez les démarches

Dénomination

Changer le nom de sa société : combien ça coûte ?

Comme nous l’évoquions dans notre article « Comment choisir le nom de sa société ?…
Documents annexes

Dans quels types de structures peut-on prévoir un pacte d’associés ?

Le pacte d’associés est un contrat confidentiel conclu entre au moins deux associés d’une société…
Documents annexes

5 bonnes raisons d’assurer son entreprise dès sa création

Article invité rédigé par les équipes d'Easyblue.  La grande oubliée quand on commence son business,…
Créer une entreprise

Les erreurs à ne pas commettre lorsqu’on lance son entreprise

Entreprendre est une aventure passionnante mais qui signifie changer son mode de vie. Lorsqu’on souhaite…