Depuis le 25 mai 2018, toutes les entreprises, peu importe leur taille, doivent se conformer au RGPD (Règlement Général sur la Protection des Données). Les PME et TPE, qui sont généralement moins préparées sur la question de la conformité, sont particulièrement visées par cette réglementation puisqu’elles font aussi partie des cibles privilégiées des cyberattaques. Quelles sont les obligations des petites entreprises en matière de protection des données personnelles ? Quel accompagnement est proposé pour aider les PME/TPE à être en conformité avec le RGPD ?
Les obligations phares du RGPD pour les PME/TPE
Toutes les entreprises, y compris les TPE et PME, sont concernées par le Règlement Général sur la Protection des Données (RGPD) quels que soient leur secteur et leur taille.
Les exigences du RGPD s’adaptent cependant à la nature, à la sensibilité et au volume des données traitées par chaque structure. Pour les PME et TPE, cela passe avant tout par un bon recensement de l’ensemble des données personnelles collectées (salariés, clients, fournisseurs…), une identification précise des finalités du traitement de ces données et une collecte qui n’ira pas au-delà de ce qui est strictement nécessaire à l’activité de l’entreprise. La limitation et minimisation des données ou “minimisation des données collectées” est d’ailleurs un principe fondamental du RGPD. Il s’agit également d’adopter une démarche “privacy by design”, autrement dit prendre en compte la protection des données dès la conception.
La seconde obligation phare concerne la transparence. Les petites entreprises doivent clairement informer leurs clients, prospects, salariés ou fournisseurs sur l’utilisation qui est faite de leurs données : pourquoi sont-elles collectées, comment sont-elles traitées, combien de temps sont-elles conservées… Cette information se fait le plus souvent via les mentions légales, une politique de confidentialité ou lors de la collecte via des formulaires. La responsabilisation passe également par le biais de formations internes dédiées aux employés sur les bonnes pratiques à adopter concernant les données personnelles pour garantir une gestion conforme et sécurisée au sein de l’entreprise.
Les PME/TPE doivent tenir un registre des traitements, même simplifié, comme l’impose le RGPD. Ce document liste les différentes catégories de données collectées, les personnes concernées, les finalités, les destinataires des données, les durées de conservation et les mesures de sécurisation mises en œuvre. Il recense également les transferts éventuels de données hors Union européenne et les catégories de prestataires sous-traitants susceptibles d’être utilisées. Même si des allègements existent pour les plus petites entités, ce registre est un outil indispensable pour piloter la conformité et doit être régulièrement mis à jour.
Par ailleurs, il est recommandé de désigner au sein de l’entreprise un responsable ou référent RGPD (la désignation d’un DPO n’est obligatoire qu’en cas traitement sur une grande échelle ou portant sur des données sensibles), et de conserver aux côtés du registre des documents permettant de prouver la conformité en cas de contrôle.
Les sous-traitants sont également soumis aux mêmes obligations RGPD que le responsable de traitement et doivent garantir la sécurité et la confidentialité des données traitées pour le compte de tiers. En principe, le traitement portant sur des données sensibles est interdit sauf dans certains cas (exemple : consentement explicite des personnes concernées), une analyse d’impact est alors nécessaire lorsque le risque est élevé. En cas de violation de données personnelles, une notification à la CNIL doit être effectuée dans un délai 72 heures et consignée dans un registre dédié. Leurs entreprises peuvent à tout moment faire l’objet de contrôles effectués par la CNIL. Les sanctions en cas non-conformité peuvent atteindre jusqu’à 4 % du chiffre d’affaires annuel mondial.
Garantir le respect des droits et la sécurité des données personnelles
Le respect des droits des personnes concernées par le traitement de leurs données est l’un des grands principes du RGPD.
Ainsi, toute personne dont les données sont traitées bénéficie de droits renforcés : droit d’accès, de rectification, à l’effacement, à la limitation, d’opposition ou à la portabilité.
Les PME/TPE doivent donc pouvoir répondre à ces demandes formulées par les personnes concernées dans un délai d’un mois maximum. Pour ce faire, il convient de définir en interne un processus simple et efficace permettant de traiter ces requêtes et d’assurer que les droits des personnes soient toujours respectés. De la même façon, il est nécessaire d’informer clairement les personnes dont vous collectez les données, de recueillir puis de pouvoir prouver leur consentement explicite lorsque cela est requis, et enfin de leur permettre facilement d’exercer leurs droits.
Là encore, la sécurité des données ne se limite pas à la protection contre les cybermenaces. Elle passe aussi par la restriction des accès aux seules personnes habilitées à traiter les données, par une politique de mots de passe sécurisés et renouvelés régulièrement, par la sauvegarde fréquente des données sensibles sur un support extérieur et enfin par l’existence de procédures dédiées en cas de violation de données. En cas d’incident, votre entreprise doit en avertir sans délai la CNIL et dans certains cas les personnes concernées. La sécurité des données personnelles exige ainsi que vous mettiez en œuvre des mesures techniques et organisationnelles adaptées au niveau de sensibilité des données traitées : chiffrement ou anonymisation, accès restreint aux seules personnes habilitées, sauvegardes régulières etc., ainsi que des mises à jour logicielles régulières.
Les PME et TPE qui disposent généralement de moins de moyens humains et techniques peuvent néanmoins adopter une démarche « taille petite » en matière de sécurité (outils simples mais efficaces adaptés à leur niveau d’exposition au risque), en sensibilisant leurs équipes, en gérant rigoureusement les accès aux seules personnes habilitées à traiter certaines catégories de données et enfin en évaluant régulièrement les risques liés au traitement des données personnelles. La sécurisation des données est enjeu relationnel fort avec vos clients et partenaires mais également un potentielle levier valorisation pour votre entreprise.
Accompagnement, ressources et outils à votre disposition pour vous mettre en conformité
Pour accompagner au mieux les PME/TPE dans leur mise en œuvre de la conformité au RGPD et aux autres obligations qui leur incombent, plusieurs ressources et services sont à leur disposition.
Ils visent à rendre plus accessible la compréhension des exigences règlementaires et la mise en œuvre de ces exigences, quelle que soit la taille de l’organisme.
– Ressources proposées par la CNIL : fiches pratiques, modèles de registre des traitements, modèles de mentions d’information, MOOC gratuit, simulateurs d’impact, assistance en ligne…- Partenariats spécialisés : avec les experts-comptables, les avocats spécialisés en protection des données personnelles et les acteurs du numérique notamment pour obtenir des conseils adaptés.- Actions fédérations/réseaux : kits de mise en conformité, ateliers pratiques, webinaires thématiques… Ces actions permettent de sensibiliser et former les dirigeants.- Solutions logicielles : logiciels de gestion de registres, suivi automatisé des demandes d’exercice des droits (accès/rectification/suppression…), sécurisation des données personnelles, reporting de conformité.- Externalisation : prestataires pouvant réaliser l’audit initial ou le recueil documentaire ou assurer la formation des équipes ou gérer la conformité en continue via un service d’abonnement.- Supports complémentaires : guides sectoriels, référentiels métiers spécifiques aux TPE/PME, checklists opérationnelles, newsletter…
L’articulation entre tous ces outils permet aux PME/TPE non seulement de mettre en place une politique de conformité efficace mais aussi d’en assurer le suivi régulier face aux évolutions législatives. L’accompagnement qu’il soit interne ou externalisé est essentiel pour inscrire la démarche conforme dans la culture d’entreprise et ne pas prendre de risque vis-à-vis des autorités compétentes sur le traitement des données personnelles.
RGPD : quels sont les défis, tendances et opportunités pour les petites entreprises ?
La principale difficulté des PME et TPE réside souvent dans le temps et les moyens dédiés à la conformité.
La complexité du RGPD ressentie ou la peur de la sanction peuvent aussi retarder l’action alors que l’enjeu est aussi bien réglementaire que commercial. Avec la digitalisation de plus en plus poussée de toutes les activités, gérer la donnée est un passage obligé même pour les entreprises historiques. Le besoin d’accompagnement sur-mesure pour aider ces entreprises à se lancer est souvent présent, tandis que l’augmentation des audits de conformité atteste d’une sensibilisation croissante au sujet.
Mais se conformer au RGPD est aussi l’opportunité de revoir ses pratiques, de renforcer la confiance de ses clients, valoriser son image et se distinguer sur son marché. Certaines petites entreprises font d’ailleurs leur conformité RGPD un argument commercial à part entière face à leurs clients comme dans les secteurs sensibles de la santé, de la formation ou des services à la personne. Une conformité qui s’accompagne parfois d’une stratégie commerciale dédiée et qui constitue un véritable atout concurrentiel pouvant générer des innovations en matière de gestion de données personnelles voire dans la digitalisation des processus internes.
Les tendances observées ces derniers mois montrent une prise de conscience grandissante sur ce sujet avec une sensibilisation croissante des donneurs d’ordre quant à la gestion des données chez leurs sous-traitants. L’automatisation avec des outils dédiés, le recours au cloud sécurisé et l’émergence d’offres d’accompagnement sur-mesure rendent plus accessible cette mise en conformité.
Enfin, les évolutions réglementaires récentes au niveau européen ( Data Act, ePrivacy…) poussent les PME/TPE à anticiper et prendre une démarche proactive afin d’anticiper les futures évolutions réglementaires mais également faire de sa donnée un véritable atout compétitif.