TPE-PME : comment se mettre en conformité avec le RGPD en quatre étapes ? 

Même avec un simple CV, une entreprise possède des données à caractère personnel !  Tout ce qui permet d’identifier directement ou indirectement une personne physique implique que l’entreprise ait à se mettre en conformité avec le RGPD, le règlement général sur la protection des données. En cas d’intrusion et notamment d’attaque informatique, l’amende peut être salée : les sanctions peuvent aller jusqu’à 4 % du chiffre d’affaires ! 

Qu’est-ce que le RGPD ? 

Le RGPD (Règlement général sur la protection des données) a en effet fait évoluer la loi informatique et libertés en renforçant le droit des personnes à l’échelle européenne. C’est une loi de l’Union européenne qui établit des règles sur la manière dont les données personnelles doivent être collectées, utilisées, traitées et protégées par toute organisation, partout en Europe. La conformité à ce règlement s’applique à toutes les entreprises – indépendamment de leur taille ou de leur secteur – installées sur le territoire de l’UE ou si elle cible des internautes européens.

Si le service ou le produit collecte de la donnée, il faut donc penser dès le départ à la façon de prendre en compte cette obligation légale. La CCI Hauts-de-France peut accompagner dans ce processus toute entreprise, TPE (très petite entreprise) ou PME (petite et moyenne entreprise), pour faire respecter en permanence cette conformité à la RGPD.   

L’objectif est de savoir sécuriser et garantir la confidentialité des données personnelles :  nom, photo, localisation, données de santé, numéro de pièce d’identité, adresse, numéro de téléphone, etc. Si vous collectez des informations sur des clients et même si vous gardez simplement un CV dans un dossier, vous êtes concerné. 

Comment se mettre en conformité en 4 étapes ?  

Le travail va commencer par le recensement minutieux de toutes les données personnelles collectées, qu’il s’agisse de la liste des collaborateurs (annuaires, contrats de travail, organigrammes, registre du personnel jusqu’aux CV), des outils de prospection (adresses email nominatives, numéros de téléphone, CRM-customer relationship manager, etc.), les informations liées aux clients (nom, prénom, email, téléphone, etc.) mais également aux fournisseurs (à partir du moment où il y a un contact nominatif). Sans oublier bien sûr tous les espaces nécessitant une authentification, notamment dans les outils de gestion de clients et aussi les documents papiers qui entrent dans le champ du RGPD ! 

 Si vous faites appel à un sous-traitant, en demandant par exemple d’envoyer un emailing à un fichier client, vous devez également vous conformer au RGPD. Cela s’applique également à un logiciel de caisse : s’il permet d’enregistrer les noms et les prénoms des clients, l’éditeur du logiciel peut être considéré comme sous-traitant. 

A partir de ces éléments, il faut ensuite constituer un registre de vos transferts de données, comme le conseille la CNIL : il faut cartographier par exemple ses fichiers clients utilisés à des fins commerciales, afin de catégoriser le type de données et leurs finalités (pour des tests de produits, pour établir les contrats de travail et les bulletins de paie, etc). A chaque fois, il faudra définir qui a accès à ces données (sous-traitants, collaborateurs, gérant, etc.) ainsi que définir une durée d’archivage et quelles sont les mesures de sécurité. La CCI Hauts-de-France peut vous accompagner afin de vous conformer à la réglementation. 

 Cela signifie qu’il faut prouver que la personne a consenti au traitement de ses données en toute connaissance de cause, et qu’elle a été correctement informée sur le type de données et leur finalité (ce que l’on va en faire concrètement) ; qu’elle puisse exercer un droit d’accès, de rectification, d’opposition mais aussi d’effacement et de portabilité (récupérer les données la concernant, voire transférer auprès d’une autre société). 

Pour certaines organisations, il est obligatoire de nommer un DPO (délégué à la protection des données) interne ou externe (ancien correspondant informatique et liberté devenu aujourd’hui data protection officer). Le critère, c’est que le traitement de données est à grande échelle et demande un suivi régulier systématique. Dans tous les cas, il faut toujours adapter des techniques et des organisations appropriées, comme par exemple le chiffrage des données sensibles. Dans tous les cas de figures, l’entreprise doit garantir un niveau de sécurité adapté au risque : les accès aux logiciels de paie doivent par exemple très restreint.

Vous souhaitez faire le point sur la situation de votre entreprise au regard du RGPD ?