RGPD : quel impact juridique pour les PME ?

Le RGPD, c’est avant tout un sujet juridique. Quels sont les aspects juridiques incontournables pour une PME et comment tirer profit de cette contrainte ? Cet article vous éclaire sans langue de bois grâce à Emmanuelle Nevo, avocat spécialiste en PI-TI au cabinet FIDAL. L’article 5 étapes claires pour passer au RGPD vous a déjà donné des clés. L’application du RGPD entraîne pour une PME une restructuration de ses habitudes en matière de collecte des données, ce qui peut constituer une gageure, notamment sur le plan juridique. Pourtant, la mise en conformité de l’entreprise peut se révéler bénéfique, tant pour l’image que pour la productivité.

 

Comment veiller à la mise en conformité du RGPD dans son entreprise ?

Depuis le 25 mai 2018, le RGPD (règlement général sur la protection des données) s’applique à toute entité traitant des données. De ce fait, les PME (petites et moyennes entreprises) sont également concernées par cette nouvelle réglementation. Pour faciliter leur transition, la CNIL met à disposition sur son site différents éléments pouvant servir de base, comme un guide des différentes démarches à suivre, ou un modèle de registre. Il est cependant préférable de se faire accompagner par un professionnel, tant sur un plan informatique que juridique.

Prendre connaissance des données recueillies par l’entreprise

Afin d’assurer la mise en conformité de l’entreprise au RGPD, il faut dans un premier temps cartographier les traitements de données que l’entreprise effectue, tant en interne vis-à-vis de ses salariés qu’en externe vis-à-vis de ses clients, partenaires etc.. Cette cartographie est essentielle pour l’établissement du registre des traitements lequel n’est obligatoire que dans certaines circonstances (structures de plus de 250 salariés, traitement de données non-occasionnel, etc.). Néanmoins, le G29, groupement des CNIL européennes, préconise fortement la mise en place d’un tel registre afin de se conformer au principe d’accountability qui impose aux entreprises d’être en mesure de démontrer leur conformité aux règles relatives à la protection des données. Le registre des traitements constitue un des premiers moyens pour veiller au respect de ce principe.

 

Un tri de ces différentes données, d’importance variable, est par la suite nécessaire. « Les données collectées doivent être proportionnées par rapport au but recherché », indique Emmanuelle Nevo, avocat spécialiste en droit de la Propriété Intellectuelle et des nouvelles technologies chez FIDAL. Il est donc indispensable de se demander pour chacune de ces données si elles sont vraiment nécessaires à la finalité du traitement. Si ce n’est pas le cas, elles ne doivent pas être recueillies.

Mettre en place des mesures pour le respect des droits et la sécurité

Une fois les données cartographiées et triées, il faut veiller au respect des droits des personnes. Tout individu dont les données sont recueillies, de manière directe ou indirecte (par le biais d’une entreprise tierce par exemple), doit être informé d’un certain nombre d’éléments et notamment des raisons de la collecte, de la durée de conservation des données, ou encore des droits dont il dispose notamment pour les supprimer. En cas de réclamation de la part d’une personne, la loi oblige à répondre sous un délai d’un mois. De ce fait, il est impératif que l’entreprise mette en place des process internes pour être la plus réactive possible et que la réponse à l’exercice des droits soit effective.

 

Enfin, la sécurité physique et informatique des données traitées ne doit pas être négligée. Les PME, comme n’importe quelle autre entité, ont l’obligation de signaler à la CNIL toute violation des données personnelles conservées, dans un délai de soixante-douze heures. Si ce délai n’est pas respecté, des conséquences très lourdes peuvent survenir notamment en termes de sanctions mais aussi en termes d’image. « Dans certaines circonstances, la violation des données doit également être communiquée aux personnes concernées », ajoute Emmanuelle Nevo. « Cela nécessite une réflexion en amont sur la démarche à suivre dans ce type de situation. Un process doit là encore être établi et formalisé »

Transformer une contrainte en atout

Néanmoins, il serait dommage de s’arrêter aux aspects contraignants de l’application du RGPD. Il est tout à fait possible de transformer la mise en conformité de la PME en un atout à faire valoir auprès des différents interlocuteurs. « En montrant qu’elle est respectueuse des données à caractère personnel de ses clients, l’entreprise donne une meilleure image d’elle-même », note Emmanuelle Nevo. « En outre, il s’agit également d’une occasion pour perfectionner ses infrastructures et ses process en interne, avec par exemple la mise en place d’une charte informatique et de protection des données personnelles qui permet de poser certaines règles et une meilleure sensibilisation des employés. »

 

Rédigé par Emmanuel Tiberi.

 



Retrouvez tout le dynamisme de Deuzzi sur notre blog

04 72 67 03 55

En continuant à utiliser le site, vous acceptez l'utilisation des cookies. Plus d'informations

Les paramètres des cookies sur ce site sont définis sur « accepter les cookies » pour vous offrir la meilleure expérience de navigation possible. Si vous continuez à utiliser ce site sans changer vos paramètres de cookies ou si vous cliquez sur "Accepter" ci-dessous, vous consentez à cela.

Fermer