RGPD, mode d’emploi très simple pour les TPE

RGPD

Le RGPD, c’est un texte supplémentaire concernant le règlement général sur la protection des données.

Cette réglementation européenne fait peur à beaucoup de chefs d’entreprises.

Pourtant, pour les plus petites entreprises, la mise en conformité n’est pas si compliquée.

La gestion des données personnelles est très mal vue mais elle relève avant tout du bon sens : ce texte sert à cadrer mais aussi à avertir la personne de ce que l’entreprise va faire de ses données‘, rappelle Christophe Delahousse, avocat au cabinet arrageois Angle Droit.

Attention, ce n’est pas parce que vous faites appel à un prestataire en informatique pour votre site internet, ou à un hébergeur de site internet type OVH, que cela signifie que votre entreprise est en règle.

Si les dirigeants ne se préoccupent pas de cette norme RGPD, personne ne le fera pour eux‘, souligne Christophe Delahousse.

A noter que les petites entreprises n’ont pas l’obligation de nommer un délégué RGPD.

Pour lui, le RGPD pour les petites structures est relativement simple à mettre en œuvre.

Nous avons organisé une réunion avec la CCI pour des gestionnaires de sites et de chambres d’hôtes : pour eux, la mise en place sera relativement simple. Les démarches lourdes concernent les sites de santé ou d’e-commerce mais les grosses entreprises missionneront une personne en interne pour s’en occuper‘.

La plupart des petites structures ne seront pas forcément prêtes pour la date butoir du 25 mai.

Les TPE et les PME ne vont pas s’inquiéter, jusqu’à ce qu’elles reçoivent une amende‘, prévoit Christophe Delahousse. ‘Sauf que le problème va aussi se poser dans le cadre des ventes d’entreprises voire même dans le cadre des marchés publics : le non respect de la norme RGPD pourra être un obstacle‘. Alors que ceux qui prouveront qu’ils ont mis en place une démarche recevront un label RGPD de la part de la CNIL (Commission nationale informatique et liberté).

 

Les étapes

Il faut regarder la sécurité du système informatique : est-ce que les écrans se mettent en veille ? Les mots de passe sont-ils bien choisis ? Qui héberge vos données et où ? Qui a accès aux ordinateurs ? Le système possède-t-il un antivirus ? L’objectif est de faire un état des lieux des données personnelles collectées, afin de savoir comment on y accède et où elles se situent.

La collecte de données, c’est généralement quand le client ou le prospect a un formulaire à remplir sur internet, soit pour lui envoyer des mails, soit pour lui envoyer des newsletters. ‘Même si elle n’est pas obligatoire pour la petite entreprise, nous allons mettre en place un registre pour indiquer comment sont collectées ses données. Si la CNIL pose la question de l’utilisation des données, les entreprises auront les réponses‘, détaille l’avocat.

Par exemple, les clients remplissent un formulaire avec telle ou telle donnée sur mon site internet et je les stocke à tel endroit. Cela peut paraître fastidieux mais n’oubliez pas que l’organisation de ces données ne peut être qu’efficace et utile pour le business de votre entreprise !

Sur n’importe quel site internet, il faut porter à la connaissance de l’utilisateur des conditions générales d’utilisation, répondant à certaines normes.

‘Le principe de la RGPD, c’est d’éclairer le consentement du particulier qui donne ses données : il faut que la personne sache comment l’entreprise compte utiliser ses informations personnelles. L’idée n’est absolument pas de ne plus faire de mailings, de commercial ou de ciblage mais que la personne soit au courant que ses données vont être utilisées de telle ou telle façon’.

Techniquement, il faut que le client signe un contrat ou que l’internaute coche une case par exemple, pour attester du fait qu’elle ait bien pris connaissance des conditions générales de vente. ‘Dans ce cadre,  les droits du consommateur doivent être rappelés, et notamment les droits d’accès, à l’oubli, à la limitation et à la suppression.’

Attention, toute évolution dans les formulaires et les questionnaires feront naturellement évoluer les conditions générales.

Il vaut mieux quand même demander précisément ce que les prestataires informatiques ont mis en place quant à la RGPD.

Les renseignements, notamment contenus dans les fiches de paie ou les entretiens annuels, entrent également dans le champ de la RGPD. Si vous envoyez vos fiches de paie par mail, vous êtes dans l’obligation de supprimer ce document par la suite surtout, si plusieurs personnes peuvent avoir accès à la boite mail (ne serait-ce que parce que la session ne se ferme pas régulièrement ou que le mot de passe n’est pas suffisamment sécurisé). Il faut également penser à sécuriser l’archivage.

En conclusion

Christophe Delahousse estime qu’ ‘il faut prendre cette nouvelle réglementation comme un moyen de détecter d’éventuelles failles de sécurité mais aussi de mettre en place un bon fichier client qui permettra une gestion commerciale efficace’.

Pour aller plus loin :
Group 22iconlinkedin-logo (3)GroupGroup 17noun_518918twitter-logo-on-black-background (2)Shapeyoutube-play-button