webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation en vidéo Notre approche Nos départements Nos avocats Nos publications Nos distinctions Nous contacter Agenda / évènements Nos événements Autres événements Photothèque / Vidéothèque Ouvrages de référence Lexique Newsletters Rechercher Nos sites internet Distribution Concurrence consommation Immobilier IT / IP Corporate Restructuring International Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre des réseaux
L'actualité juridique et économique des réseaux de distribution par Simon Associés
simon associés simon associés
Accueil >IT / IP
 

La mise en conformité avec le RGPD des PME

Guide de la CNIL et de BPI France du 17 avril 2018

Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée en six étapes leur permettant d’appréhender concrètement les actions de mise en conformité à mettre en place.



Ce qu’il faut retenir : A moins d’un mois avant l’entrée en application du RGPD, de nombreuses entreprises n’ont pas encore entamé leurs démarches de mises en conformité. Si ce texte n’est pas inédit en tout point, ce sont les sanctions qu’il introduit qui sont révolutionnaires. Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée en six étapes leur permettant d’appréhender concrètement les actions de mise en conformité à mettre en place. Malgré tout, les PME qui ne disposent ni d’un budget dédié pour une mise en conformité dans les meilleures conditions, ni de moyens humains adéquats n’ont su comment mettre en application la méthodologie de la CNIL. La Commission a alors voulu tenir compte des particularités de ces structures en adoptant un guide, rédigé en partenariat avec Bpifrance, dédié aux PME. Ce guide était ainsi très attendu.

Pour approfondir :

1. Présentation du guide : une compréhension du texte facilitée et des avantages motivant

Le guide de la CNIL et de Bpifrance propose tout d’abord une présentation du règlement dans termes simplifiés et vulgarisés. Cela a pour mérite de favoriser la compréhension du texte par des personnes non initiées.

Il présente également les avantages de la mise en conformité pour les entreprises. Ainsi, les rédacteurs mettent en avant le fait que l’arrivée du règlement européen est une occasion de construire une relation de confiance avec les clients et d’améliorer son image de marque.

En étant transparent sur les activités de l’entreprise et en garantissant le respect des droits des personnes concernées, la relation entre un responsable de traitement et une personne concernée est ainsi plus fluide et rassurante.

La constitution d’un fichier de clients et prospect à jour permet également de gagner en efficacité et en productivité souligne la CNIL et Bpifrance.

Cela a aussi pour avantage d’éviter de conserver des données périmées ou inutiles, demandant des moyens techniques et humains de plus en plus importants pour gérer cette accumulation d’informations.

Le respect des principes du RGPD permet ainsi de réduire les coûts liés à la gestion des données et d’optimiser les investissements des entreprises.

La sécurité des données est également un point essentiel qui permet à toute entreprise de se développer sereinement.

En matière de sous-traitance, les donneurs d’ordre rechercheront avant tout des prestataires en conformité avec le règlement. La mise en conformité offre donc un avantage concurrentiel d’importance pour les prestataires qui respectent le texte.

Enfin, le guide rappelle que l’introduction de nouveaux concepts par le RGPD peut être une véritable opportunité pour les entreprises de créer de nouveaux services et produits susceptibles de motiver la décision d’achat.

2. Les actions à mener pour la mise en conformité

La CNIL et Bpifrance présentent une nouvelle méthodologie adaptée aux PME, non plus en 6 étapes mais en 4 étapes.

Deux étapes sont donc supprimées, ce qui simplifie la méthodologie pour ces entreprises modestes. En premier lieu, la CNIL présente l’obligation de tenir un registre des traitements. Pour ce faire, il est recommandé de recenser les activités principales et d’en identifier les principales caractéristiques que sont la finalité, les catégories de données, les destinataires des données et leur durée de conservation.

En second lieu, il est recommandé aux entreprises de procéder à un tri de leurs données. Il s’agit ici de respecter les principes de minimisation, de définir les habilitations des membres du personnel, de fixer une durée de conservation, de s’interroger sur la pertinence des données et de détecter l’existence de données sensibles.

Pour la troisième étape des actions à suivre, l’autorité de contrôle rappelle l’importance de respecter les droits des personnes concernées, en intégrant les mentions d’information et en prévoyant un processus pour recevoir les demandes des dites personnes.

Enfin, le guide rappelle qu’il est essentiel de sécuriser les données à l’aide de mesures techniques et organisationnelles appropriées.

La désignation du délégué à la protection des données (DPO) ainsi que les obligations tenant à la documentation de sa conformité ne semble donc plus au programme des étapes à suivre par les PME.

En effet, le délégué à la protection des données est un des grands absents de ce guide. Il n’est mentionné que de façon anecdotique, en précisant les critères de sa désignation. Cette référence, bien que succincte, rappelle donc que la désignation d’un DPO n’est pas à exclure pour les PME.

Nous ne pouvons que regretter le fait que le guide n’oriente pas les PME face aux problématiques qu’elles peuvent rencontrer pour une telle désignation.

En effet, ces entreprises ne disposent généralement pas des ressources financières suffisantes pour faire appel à un DPO externalisé, dont les tarifs sont souvent élevés. Quand bien même les entreprises choisiraient de désigner un DPO en interne, elles ne sauraient pas qui désigner sans encourir un risque de conflit d’intérêt. Certaines PME n’ont parfois même aucun salarié qui pourrait endosser ce rôle. Sur ce point, le guide n’apporte aucune réponse.

En outre, l’étape consacrée aux mesures de sécurité est insuffisante. La CNIL et Bpifrance ne voient le problème que sous l’angle du responsable du traitement, risquant d’occulter les nombreuses PME agissant comme sous-traitants, et se contentent principalement d’ériger en premier réflexe de sécurité le principe de minimisation des données. La réalité est pourtant bien plus exigeante. Les PME ne disposent pas d’autant de moyens de se mettre à niveau que les entreprises plus importantes.

Enfin, il aurait été souhaitable que le guide propose des instruments spécifiques à destination des PME, tels que des modèles de mentions d’information adaptés aux PME ou encore un registre pré-rempli avec les traitements les plus communs.

Pour autant, la CNIL reste un bon partenaire dans ses démarches de mise en conformité et de nombreux modèles et guides généraux sont présents sur son site internet.

A rapprocher : Guide pratique de sensibilisation au RGPD pour les PME de la CNIL et BPI France

VOIR AUSSI

La promotion de l’Intelligence Artificielle par la Commission européenne

Communiqué de presse du 25 avril 2018

- Vu : 651

Dans un communiqué de presse du 25 avril 2018, La Commission européenne expose son approche et ses lignes directrices pour favoriser l’introduction et le développement de l’Intelligence Artificielle à tous les niveaux, aussi bien dans les PME que dans les grandes entreprises.

> Lire la suite

Caractères distinctif et trompeur d’un signe - CA Paris, 20 juin 2012, RG n°10/19925

- Vu : 6245

Ne peut être adopté comme marque, un signe de nature à tromper le public, notamment sur la nature, la qualité ou la provenance géographique du produit ou service.


> Lire la suite


Les plus vus...
Rappels concernant l’obligation périodique de statuer sur une augmentation de capital réservée aux salariés
15 janvier 2013 - Vu : 76926
La collectivité des associés d’une société par actions doit, lorsque le rapport de gestion présenté à l’AGO annuelle indique ...
> Lire la suite
Le nouvel article 1231-5 du code civil relatif à la clause pénale
14 mai 2016 - Vu : 64585
Parmi les nombreuses dispositions qu'elle contient, la réforme du droit des contrats introduit un nouvel article 1231-5 au ...
> Lire la suite
MAPIC - 16-18 novembre 2016 - Cannes | Palais des Festivals
27 septembre 2016 - Vu : 38453
SIMON ASSOCIÉS sera présent au MAPIC du 16 au 18 novembre à Cannes. ...
> Lire la suite
Clauses de durée et poursuite des relations commerciales dans les contrats de distribution
1 décembre 2012 - Vu : 35087
La poursuite des relations commerciales dans les contrats de franchise, et plus généralement dans les contrats de distribution, ...
> Lire la suite
Copyright ©2016 La lettre des Réseaux | Création et réalisation Webcd©