RGPD, un an après : les TPE ont encore du travail

Entré en vigueur le 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) doit renforcer la protection des données personnelles de tous les citoyens européens. Ce qui suppose, pour toutes les entreprises et même les plus petites, une analyse précise des données qu’elles manipulent, de leur légalité et de leur confidentialité. Plus d’un an après, de nombreux dirigeants n’ont pas commencé le travail !

Grande affaire de l’année 2018 sur le front de la CNIL, la mise en place du RGPD a occasionné des campagnes d’information nombreuses, voire des affichages comminatoires dans la rue, sur le thème « vous devez vous mettre en règle ». Mais un an après, où en est-on vraiment ?

  • Début 2019, 66% des Français se disent plus sensibles à ce sujet aujourd’hui qu’au cours de ces dernières années, selon un sondage IFOP réalisé pour la CNIL.
  • Le nombre de plaintes a fortement augmenté : plus de 100 000 plaintes au niveau européen en 1 an, 11 000 en France (contre environ 3 000 auparavant).

Dans le détail, la CNIL relève que les consommateurs se plaignent surtout de suppression de données non satisfaites, de démarchages abusifs. Un autre volet important des plaintes concerne la vidéosurveillance ou la géolocalisation des salariés par leurs employeurs.

La CNIL a souhaité faire de cette première année une période de transition et de sensibilisation des entreprises, plutôt que de répression. En clair, malgré l’augmentation du nombre de plaintes,  il n’y a pas eu beaucoup de sanctions supplémentaires, même si l’amende de 50 millions d’euros infligée à Google en début d’année 2019 a fait couler beaucoup d’encre.

Le ton semble changer aujourd’hui et les TPE/PME, dont près d’un dirigeant sur deux (48%) n’était pas certain d’être en conformité selon un sondage OpinionWay réalisé pour Captain Contrat début 2019, doivent se mobiliser.

Pour ce faire, la CNIL multiplie les initiatives en direction de ce public moins équipé en professionnels de la protection des données (DPO, voir encadré) et souvent moins conscient des risques pris avec les données personnelles de ses clients, de ses collaborateurs ou même de ses partenaires commerciaux.

Concrètement, l’organisme public propose de procéder en 4 étapes :

Étape 1 : Constitution d’un registre des traitements

Le mot fait peur mais en fait, il s’agit surtout de dresser l’inventaire de toutes les données à caractère personnel que vous manipulez, et de vous interroger sur l’usage que vous en faites.

Étape 2 : Tri des données

L’inventaire ci-dessus va sans doute révéler des zones d’ombres (origine des données, droit de les utiliser obtenu ou pas, etc.) mais aussi des redondances dans vos fichiers. C’est le moment de regrouper les informations et de supprimer celles qui sont inutiles… ou celles que vous n’avez pas le droit d’utiliser

Étape 3 : Mettre en place une vraie gouvernance de la donnée

Si vous avez compris les principes du RGPD et les droits des personnes à bénéficier d’une véritable protection de leurs données personnelles, cette étape vous paraîtra simple : il s’agira de déterminer, pour chaque type de données et de traitement, des droits d’accès adaptés.

Étape 4 : Sécuriser les données

Il vous reste à organiser la protection technique des fichiers, ce qui signifie une gestion des droits d’accès, le cryptage éventuel des informations sensibles et des barrières pour empêcher des intrusions dans vos systèmes d’informations. Attention, vous ne pouvez pas vous débarrasser du problème en sous-traitant cette gestion de la sécurité car vous restez responsable des résultats obtenus – et pas seulement des moyens mis en œuvre ! En clair, vous devez pouvoir apporter la preuve que votre choix de sous-traitance garantit une bonne proetction.

Pour finir et ne pas vous sentir trop seul, sachez que la CNIL a déployé tout un arsenal de documents pour venir en aide aux TPE et aux PME.

  • Un MOOC (un tuto élaboré) pour vous aider à mieux comprendre et intégrer les principes fondamentaux du RGPD.

Devez-vous nommer un délégué à la protection des données (DPO) ?

Oui, et quelle que soit la taille de votre entreprise, si votre activité vous amène à :

  • Réaliser un suivi régulier et systématique des personnes à grande échelle ;
  • Traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Pour savoir si vous êtes concerné, lire cet article de la CNIL

Si vous décider de nommer un DPO, vous pouvez jouer ce rôle en tant que chef d’entreprise, mais il est plutôt recommandé, en cas d’absence de collaborateurs capables de prendre votre relais, de vous adresser à des DPO externalisés et mutualisés.

Laisser un commentaire