webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

La mise en conformité avec le RGPD des PME

Guide de la CNIL et de BPI France du 17 avril 2018

Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée en six étapes leur permettant d’appréhender concrètement les actions de mise en conformité à mettre en place.



Ce qu’il faut retenir : A moins d’un mois avant l’entrée en application du RGPD, de nombreuses entreprises n’ont pas encore entamé leurs démarches de mises en conformité. Si ce texte n’est pas inédit en tout point, ce sont les sanctions qu’il introduit qui sont révolutionnaires. Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée en six étapes leur permettant d’appréhender concrètement les actions de mise en conformité à mettre en place. Malgré tout, les PME qui ne disposent ni d’un budget dédié pour une mise en conformité dans les meilleures conditions, ni de moyens humains adéquats n’ont su comment mettre en application la méthodologie de la CNIL. La Commission a alors voulu tenir compte des particularités de ces structures en adoptant un guide, rédigé en partenariat avec Bpifrance, dédié aux PME. Ce guide était ainsi très attendu.

Pour approfondir :

1. Présentation du guide : une compréhension du texte facilitée et des avantages motivant

Le guide de la CNIL et de Bpifrance propose tout d’abord une présentation du règlement dans termes simplifiés et vulgarisés. Cela a pour mérite de favoriser la compréhension du texte par des personnes non initiées.

Il présente également les avantages de la mise en conformité pour les entreprises. Ainsi, les rédacteurs mettent en avant le fait que l’arrivée du règlement européen est une occasion de construire une relation de confiance avec les clients et d’améliorer son image de marque.

En étant transparent sur les activités de l’entreprise et en garantissant le respect des droits des personnes concernées, la relation entre un responsable de traitement et une personne concernée est ainsi plus fluide et rassurante.

La constitution d’un fichier de clients et prospect à jour permet également de gagner en efficacité et en productivité souligne la CNIL et Bpifrance.

Cela a aussi pour avantage d’éviter de conserver des données périmées ou inutiles, demandant des moyens techniques et humains de plus en plus importants pour gérer cette accumulation d’informations.

Le respect des principes du RGPD permet ainsi de réduire les coûts liés à la gestion des données et d’optimiser les investissements des entreprises.

La sécurité des données est également un point essentiel qui permet à toute entreprise de se développer sereinement.

En matière de sous-traitance, les donneurs d’ordre rechercheront avant tout des prestataires en conformité avec le règlement. La mise en conformité offre donc un avantage concurrentiel d’importance pour les prestataires qui respectent le texte.

Enfin, le guide rappelle que l’introduction de nouveaux concepts par le RGPD peut être une véritable opportunité pour les entreprises de créer de nouveaux services et produits susceptibles de motiver la décision d’achat.

2. Les actions à mener pour la mise en conformité

La CNIL et Bpifrance présentent une nouvelle méthodologie adaptée aux PME, non plus en 6 étapes mais en 4 étapes.

Deux étapes sont donc supprimées, ce qui simplifie la méthodologie pour ces entreprises modestes. En premier lieu, la CNIL présente l’obligation de tenir un registre des traitements. Pour ce faire, il est recommandé de recenser les activités principales et d’en identifier les principales caractéristiques que sont la finalité, les catégories de données, les destinataires des données et leur durée de conservation.

En second lieu, il est recommandé aux entreprises de procéder à un tri de leurs données. Il s’agit ici de respecter les principes de minimisation, de définir les habilitations des membres du personnel, de fixer une durée de conservation, de s’interroger sur la pertinence des données et de détecter l’existence de données sensibles.

Pour la troisième étape des actions à suivre, l’autorité de contrôle rappelle l’importance de respecter les droits des personnes concernées, en intégrant les mentions d’information et en prévoyant un processus pour recevoir les demandes des dites personnes.

Enfin, le guide rappelle qu’il est essentiel de sécuriser les données à l’aide de mesures techniques et organisationnelles appropriées.

La désignation du délégué à la protection des données (DPO) ainsi que les obligations tenant à la documentation de sa conformité ne semble donc plus au programme des étapes à suivre par les PME.

En effet, le délégué à la protection des données est un des grands absents de ce guide. Il n’est mentionné que de façon anecdotique, en précisant les critères de sa désignation. Cette référence, bien que succincte, rappelle donc que la désignation d’un DPO n’est pas à exclure pour les PME.

Nous ne pouvons que regretter le fait que le guide n’oriente pas les PME face aux problématiques qu’elles peuvent rencontrer pour une telle désignation.

En effet, ces entreprises ne disposent généralement pas des ressources financières suffisantes pour faire appel à un DPO externalisé, dont les tarifs sont souvent élevés. Quand bien même les entreprises choisiraient de désigner un DPO en interne, elles ne sauraient pas qui désigner sans encourir un risque de conflit d’intérêt. Certaines PME n’ont parfois même aucun salarié qui pourrait endosser ce rôle. Sur ce point, le guide n’apporte aucune réponse.

En outre, l’étape consacrée aux mesures de sécurité est insuffisante. La CNIL et Bpifrance ne voient le problème que sous l’angle du responsable du traitement, risquant d’occulter les nombreuses PME agissant comme sous-traitants, et se contentent principalement d’ériger en premier réflexe de sécurité le principe de minimisation des données. La réalité est pourtant bien plus exigeante. Les PME ne disposent pas d’autant de moyens de se mettre à niveau que les entreprises plus importantes.

Enfin, il aurait été souhaitable que le guide propose des instruments spécifiques à destination des PME, tels que des modèles de mentions d’information adaptés aux PME ou encore un registre pré-rempli avec les traitements les plus communs.

Pour autant, la CNIL reste un bon partenaire dans ses démarches de mise en conformité et de nombreux modèles et guides généraux sont présents sur son site internet.

A rapprocher : Guide pratique de sensibilisation au RGPD pour les PME de la CNIL et BPI France

VOIR AUSSI

WEB ÉDITIONS sanctionnée par la CNIL

Délibération n°SAN-2017-012 du 16 novembre 2017

- Vu : 99

Accès à toutes les données personnelles contenues sur un site en modifiant simplement les derniers chiffres d'une adresse URL : WEB ÉDITIONS sanctionnée par la CNIL !

> Lire la suite

Règlement européen sur la protection des données personnelles : tous les contrats de sous-traitance doivent être modifiés avant le 25 mai 2018

Guide du sous-traitant (Edition Sept. 2017 – CNIL)

- Vu : 175

La CNIL a édité un guide pratique à destination des sous-traitants en septembre dernier afin de les accompagner dans la mise en œuvre des nouvelles obligations imposées par le règlement européen en matière de protection des données personnelles (le « Règlement »).

> Lire la suite


Les plus vus...
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 1550
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Protéger ses marques efficacement - 15 mai 2018 - Nantes
16 avril 2018 - Vu : 1111
SIMON ASSOCIÉS organise un petit-déjeuner sur le thème de la protection des marques le 15 mai 2018 à ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 1090
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 1046
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©