La mise en conformité avec le RGPD des PME

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Counsel

Guide de la CNIL et de BPI France du 17 avril 2018

Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée en six étapes leur permettant d’appréhender concrètement les actions de mise en conformité à mettre en place.

Ce qu’il faut retenir : A moins d’un mois avant l’entrée en application du RGPD, de nombreuses entreprises n’ont pas encore entamé leurs démarches de mises en conformité. Si ce texte n’est pas inédit en tout point, ce sont les sanctions qu’il introduit qui sont révolutionnaires. Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée en six étapes leur permettant d’appréhender concrètement les actions de mise en conformité à mettre en place. Malgré tout, les PME qui ne disposent ni d’un budget dédié pour une mise en conformité dans les meilleures conditions, ni de moyens humains adéquats n’ont su comment mettre en application la méthodologie de la CNIL. La Commission a alors voulu tenir compte des particularités de ces structures en adoptant un guide, rédigé en partenariat avec Bpifrance, dédié aux PME. Ce guide était ainsi très attendu.

Pour approfondir :

1. Présentation du guide : une compréhension du texte facilitée et des avantages motivant

Le guide de la CNIL et de Bpifrance propose tout d’abord une présentation du règlement dans termes simplifiés et vulgarisés. Cela a pour mérite de favoriser la compréhension du texte par des personnes non initiées.

Il présente également les avantages de la mise en conformité pour les entreprises. Ainsi, les rédacteurs mettent en avant le fait que l’arrivée du règlement européen est une occasion de construire une relation de confiance avec les clients et d’améliorer son image de marque.

En étant transparent sur les activités de l’entreprise et en garantissant le respect des droits des personnes concernées, la relation entre un responsable de traitement et une personne concernée est ainsi plus fluide et rassurante.

La constitution d’un fichier de clients et prospect à jour permet également de gagner en efficacité et en productivité souligne la CNIL et Bpifrance.

Cela a aussi pour avantage d’éviter de conserver des données périmées ou inutiles, demandant des moyens techniques et humains de plus en plus importants pour gérer cette accumulation d’informations.

Le respect des principes du RGPD permet ainsi de réduire les coûts liés à la gestion des données et d’optimiser les investissements des entreprises.

La sécurité des données est également un point essentiel qui permet à toute entreprise de se développer sereinement.

En matière de sous-traitance, les donneurs d’ordre rechercheront avant tout des prestataires en conformité avec le règlement. La mise en conformité offre donc un avantage concurrentiel d’importance pour les prestataires qui respectent le texte.

Enfin, le guide rappelle que l’introduction de nouveaux concepts par le RGPD peut être une véritable opportunité pour les entreprises de créer de nouveaux services et produits susceptibles de motiver la décision d’achat.

2. Les actions à mener pour la mise en conformité

La CNIL et Bpifrance présentent une nouvelle méthodologie adaptée aux PME, non plus en 6 étapes mais en 4 étapes.

Deux étapes sont donc supprimées, ce qui simplifie la méthodologie pour ces entreprises modestes. En premier lieu, la CNIL présente l’obligation de tenir un registre des traitements. Pour ce faire, il est recommandé de recenser les activités principales et d’en identifier les principales caractéristiques que sont la finalité, les catégories de données, les destinataires des données et leur durée de conservation.

En second lieu, il est recommandé aux entreprises de procéder à un tri de leurs données. Il s’agit ici de respecter les principes de minimisation, de définir les habilitations des membres du personnel, de fixer une durée de conservation, de s’interroger sur la pertinence des données et de détecter l’existence de données sensibles.

Pour la troisième étape des actions à suivre, l’autorité de contrôle rappelle l’importance de respecter les droits des personnes concernées, en intégrant les mentions d’information et en prévoyant un processus pour recevoir les demandes des dites personnes.

Enfin, le guide rappelle qu’il est essentiel de sécuriser les données à l’aide de mesures techniques et organisationnelles appropriées.

La désignation du délégué à la protection des données (DPO) ainsi que les obligations tenant à la documentation de sa conformité ne semble donc plus au programme des étapes à suivre par les PME.

En effet, le délégué à la protection des données est un des grands absents de ce guide. Il n’est mentionné que de façon anecdotique, en précisant les critères de sa désignation. Cette référence, bien que succincte, rappelle donc que la désignation d’un DPO n’est pas à exclure pour les PME.

Nous ne pouvons que regretter le fait que le guide n’oriente pas les PME face aux problématiques qu’elles peuvent rencontrer pour une telle désignation.

En effet, ces entreprises ne disposent généralement pas des ressources financières suffisantes pour faire appel à un DPO externalisé, dont les tarifs sont souvent élevés. Quand bien même les entreprises choisiraient de désigner un DPO en interne, elles ne sauraient pas qui désigner sans encourir un risque de conflit d’intérêt. Certaines PME n’ont parfois même aucun salarié qui pourrait endosser ce rôle. Sur ce point, le guide n’apporte aucune réponse.

En outre, l’étape consacrée aux mesures de sécurité est insuffisante. La CNIL et Bpifrance ne voient le problème que sous l’angle du responsable du traitement, risquant d’occulter les nombreuses PME agissant comme sous-traitants, et se contentent principalement d’ériger en premier réflexe de sécurité le principe de minimisation des données. La réalité est pourtant bien plus exigeante. Les PME ne disposent pas d’autant de moyens de se mettre à niveau que les entreprises plus importantes.

Enfin, il aurait été souhaitable que le guide propose des instruments spécifiques à destination des PME, tels que des modèles de mentions d’information adaptés aux PME ou encore un registre pré-rempli avec les traitements les plus communs.

Pour autant, la CNIL reste un bon partenaire dans ses démarches de mise en conformité et de nombreux modèles et guides généraux sont présents sur son site internet.

A rapprocher : Guide pratique de sensibilisation au RGPD pour les PME de la CNIL et BPI France

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…