La mise en conformité avec le RGPD des PME

Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée en six étapes leur permettant d’appréhender concrètement les actions de mise en conformité à mettre en place.

Ce qu’il faut retenir : A moins d’un mois avant l’entrée en application du RGPD, de nombreuses entreprises n’ont pas encore entamé leurs démarches de mises en conformité. Si ce texte n’est pas inédit en tout point, ce sont les sanctions qu’il introduit qui sont révolutionnaires. Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée en six étapes leur permettant d’appréhender concrètement les actions de mise en conformité à mettre en place. Malgré tout, les PME qui ne disposent ni d’un budget dédié pour une mise en conformité dans les meilleures conditions, ni de moyens humains adéquats n’ont su comment mettre en application la méthodologie de la CNIL. La Commission a alors voulu tenir compte des particularités de ces structures en adoptant un guide, rédigé en partenariat avec Bpifrance, dédié aux PME. Ce guide était ainsi très attendu.

Pour approfondir :

1. Présentation du guide : une compréhension du texte facilitée et des avantages motivant

Le guide de la CNIL et de Bpifrance propose tout d’abord une présentation du règlement dans termes simplifiés et vulgarisés. Cela a pour mérite de favoriser la compréhension du texte par des personnes non initiées.

Il présente également les avantages de la mise en conformité pour les entreprises. Ainsi, les rédacteurs mettent en avant le fait que l’arrivée du règlement européen est une occasion de construire une relation de confiance avec les clients et d’améliorer son image de marque.

En étant transparent sur les activités de l’entreprise et en garantissant le respect des droits des personnes concernées, la relation entre un responsable de traitement et une personne concernée est ainsi plus fluide et rassurante.

La constitution d’un fichier de clients et prospect à jour permet également de gagner en efficacité et en productivité souligne la CNIL et Bpifrance.

Cela a aussi pour avantage d’éviter de conserver des données périmées ou inutiles, demandant des moyens techniques et humains de plus en plus importants pour gérer cette accumulation d’informations.

Le respect des principes du RGPD permet ainsi de réduire les coûts liés à la gestion des données et d’optimiser les investissements des entreprises.

La sécurité des données est également un point essentiel qui permet à toute entreprise de se développer sereinement.

En matière de sous-traitance, les donneurs d’ordre rechercheront avant tout des prestataires en conformité avec le règlement. La mise en conformité offre donc un avantage concurrentiel d’importance pour les prestataires qui respectent le texte.

Enfin, le guide rappelle que l’introduction de nouveaux concepts par le RGPD peut être une véritable opportunité pour les entreprises de créer de nouveaux services et produits susceptibles de motiver la décision d’achat.

2. Les actions à mener pour la mise en conformité

La CNIL et Bpifrance présentent une nouvelle méthodologie adaptée aux PME, non plus en 6 étapes mais en 4 étapes.

Deux étapes sont donc supprimées, ce qui simplifie la méthodologie pour ces entreprises modestes. En premier lieu, la CNIL présente l’obligation de tenir un registre des traitements. Pour ce faire, il est recommandé de recenser les activités principales et d’en identifier les principales caractéristiques que sont la finalité, les catégories de données, les destinataires des données et leur durée de conservation.

En second lieu, il est recommandé aux entreprises de procéder à un tri de leurs données. Il s’agit ici de respecter les principes de minimisation, de définir les habilitations des membres du personnel, de fixer une durée de conservation, de s’interroger sur la pertinence des données et de détecter l’existence de données sensibles.

Pour la troisième étape des actions à suivre, l’autorité de contrôle rappelle l’importance de respecter les droits des personnes concernées, en intégrant les mentions d’information et en prévoyant un processus pour recevoir les demandes des dites personnes.

Enfin, le guide rappelle qu’il est essentiel de sécuriser les données à l’aide de mesures techniques et organisationnelles appropriées.

La désignation du délégué à la protection des données (DPO) ainsi que les obligations tenant à la documentation de sa conformité ne semble donc plus au programme des étapes à suivre par les PME.

En effet, le délégué à la protection des données est un des grands absents de ce guide. Il n’est mentionné que de façon anecdotique, en précisant les critères de sa désignation. Cette référence, bien que succincte, rappelle donc que la désignation d’un DPO n’est pas à exclure pour les PME.

Nous ne pouvons que regretter le fait que le guide n’oriente pas les PME face aux problématiques qu’elles peuvent rencontrer pour une telle désignation.

En effet, ces entreprises ne disposent généralement pas des ressources financières suffisantes pour faire appel à un DPO externalisé, dont les tarifs sont souvent élevés. Quand bien même les entreprises choisiraient de désigner un DPO en interne, elles ne sauraient pas qui désigner sans encourir un risque de conflit d’intérêt. Certaines PME n’ont parfois même aucun salarié qui pourrait endosser ce rôle. Sur ce point, le guide n’apporte aucune réponse.

En outre, l’étape consacrée aux mesures de sécurité est insuffisante. La CNIL et Bpifrance ne voient le problème que sous l’angle du responsable du traitement, risquant d’occulter les nombreuses PME agissant comme sous-traitants, et se contentent principalement d’ériger en premier réflexe de sécurité le principe de minimisation des données. La réalité est pourtant bien plus exigeante. Les PME ne disposent pas d’autant de moyens de se mettre à niveau que les entreprises plus importantes.

Enfin, il aurait été souhaitable que le guide propose des instruments spécifiques à destination des PME, tels que des modèles de mentions d’information adaptés aux PME ou encore un registre pré-rempli avec les traitements les plus communs.

Pour autant, la CNIL reste un bon partenaire dans ses démarches de mise en conformité et de nombreux modèles et guides généraux sont présents sur son site internet.

A rapprocher : Guide pratique de sensibilisation au RGPD pour les PME de la CNIL et BPI France