Le RGPD peut être vécu comme une contrainte. Comment transformer ce règlement sur les données personnelles en opportunité quand on est une PME ? Cet article vous donne des clés avec l’éclairage de Mohammed Hassen, conseiller PME de la CCI Nord Isère.
Exécutoire depuis le 25 mai, le Règlement Général sur la Protection des Données (RGPD) renforce les droits des citoyens et accentue les obligations des entreprises. Pour de nombreuses PME, c’est une contrainte supplémentaire. Ce texte représente pourtant une occasion de renforcer la pérennité de son activité.
Les droits des citoyens renforcés
Trop d’abus et plus de transparence ! Ces deux termes résument les enjeux du RGPD. Ce règlement de 99 articles a été rédigé afin de limiter les informations personnelles recueillies à l’insu des individus ou sans réelle justification par toutes les entreprises et en particulier les géants du web. Dès lors, toute entreprise qui traite de données privées de citoyens européens doit être en conformité avec ce texte. Elle doit notamment jouer la transparence, c’est-à-dire expliquer aux personnes concernées la finalité et l’usage qu’elle fait desdites données.
Pour rappel, une donnée personnelle est toute information permettant d’identifier directement ou indirectement une personne physique (que ce soit un salarié, un client ou un prospect) : nom, numéro de téléphone, n° de Sécurité sociale, adresse IP…
Ce texte européen renforce donc les droits des Européens et, de fait, les obligations des entreprises sur la protection des données. Parmi ces droits, il y a :
- Le consentement explicite : chaque individu doit donner son accord quant à l’utilisation ou l’enregistrement de ses données,
- La portabilité : un client peut demander à l’entreprise A de récupérer toutes ses données personnelles pour les transférer à l’entreprise B. Cas typique : un changement d’opérateur téléphonique;
- La suppression : il est possible de demander à une entreprise de supprimer toutes les données personnelles qu’elle stocke sur tous ses fichiers.
Des Obligations pour les entreprises
Pour les entreprises, le RGPD oblige à prendre des « mesures techniques et organisationnelles appropriées ». Cela commence par cartographier l’intégralité de son réseau informatique afin d’identifier tous les supports stockant ce genre d’informations.
Il convient également de :
- Tenir un registre des traitements : ce document dresse l’inventaire de chaque traitement effectué sur une donnée personnelle. Il indique aussi les coordonnées du responsable de traitement, les mesures de sécurité mises en place…
- Informer la CNIL sous 72 heures dès qu’un piratage du réseau informatique entraîne une fuite de données à caractère personnel;
- Mettre en conformité son site web et tous ses contrats (travail, charte informatique, prestataires).
- S’assurer justement que ses prestataires (experts-comptables, hébergeurs de données….) ont entamé une démarche de mise en conformité. Le RGPD précise en effet qu’il y a une coresponsabilité entre le chef d’entreprise et son sous-traitant.
Reste la question du DPO (Data protection Officer ou DPD pour Délégué à la protection des données). Il doit veiller à la mise en conformité de tous les traitements. S’il est obligatoire pour les entreprises traitant de données à grande échelle ou à risque et pour les administrations, il ne l’est pas pour les TPE. Mais la nomination d’un DPO externe (mutualisé entre différentes petites entités) prouve aux yeux de la CNIL que l’entreprise se soucie de la protection de ces informations.
La majorité des entreprises n’a pas anticipé l’arrivée de ce règlement qui apparaît comme un obstacle insurmontable, car il touche un grand nombre de métiers : RH, comptabilité, juridique, commercial et bien sûr service informatique. « Des PME et TPE le considèrent comme inutile alors qu’elles ne se rendent pas compte des impacts négatifs que peut avoir la négligence de la protection de ces informations », constate Mohamed HASSEN, conseiller en développement Technologique et Innovation à la CCI Nord Isère.
Afin de vous mettre en conformité, découvrez une méthode simple en 5 étapes pour les PME. De cette manière vous pouvez passer à l’action et appliquer le RGPD en toute sérénité.
Quelles Opportunités pour les PME
On dit que « la donnée » est l’or du 21ème siècle. Le RGPD est une formidable opportunité pour les PME de connaitre précisément les flux de données dans l’entreprise.
Cette connaissance approfondie, permet de structurer l’activité autour de ce nouvel actif et de sécuriser les informations dans l’entreprise en détectant les failles et les risques.
Travailler sur les données dans l’entreprise permet aussi d’améliorer la connaissance et l’expérience client. Les questions telles que « qui sont mes clients », « comment se comportent-ils », « comment ces données peuvent-elles m’aider à améliorer le service rendu ? » sont autant de clés pour faire grandir l’entreprise vers une approche « customer centric ».
Au final, le RGPD oblige « les entreprises à revoir leurs méthodes de traitement des données et de façon plus globale à améliorer leur niveau de sécurité informatique », rappelle Mohamed HASSEN.
Rédigé par Emmanuel Tiberi, Consultant Systèmes d’Information.
