En France, près de 90% des entreprises sont des PME. Ces petites structures sont donc directement concernées par tous les changements de législation. On peut y inclure les textes communautaires promulgués par l’Union européenne tels que le Règlement Général sur la Protection des Données (RGPD). Ce dernier apporte normalement quelques modifications dans la manière d’appréhender les activités digitales.
Qu’est-ce que le RGPD ?
Le RGPD vient remplacer la Directive 95/46/CE sur la protection des données. Ce nouveau règlement en vigueur depuis mai 2018 incite les acteurs à prendre des mesures préventives pour lutter contre les fuites de données. Il prévoit des sanctions à l’encontre des sociétés qui détournent ou revendent des informations concernant leurs clients.
Dans cette optique, le RGPD soumet les établissements concernés à un certain nombre d’obligations. Ces structures doivent mettre en place un registre de traitement dans le but d’identifier rapidement toute tentative de piratage. Cette disposition permettra également de respecter les droits des citoyens.
Ce nouveau règlement européen a abouti à la création d’entités destinées à contrôler l’application de ces mesures. Ce rôle a été attribué à la Commission Nationale de l’Informatique et des Libertés (CNIL) en France. Cet établissement sanctionne toutes les infractions relatives au RGPD. Les autorités compétentes peuvent exiger le paiement d’une amende ou une interruption des activités de l’entreprise jusqu’à ce que la régularisation soit achevée. Pour éviter ces pénalités, il est crucial de se mettre en conformité aux nouvelles règles de protection des données.
Les principales étapes d’une mise en conformité
Se conformer au RGPD PME est bien plus difficile qu’on ne le pense. Effectivement, plusieurs facteurs entrent en jeu. Les opérations à entreprendre dépendent des activités de l’établissement et de la nature des données collectées. Pour ne rien laisser au hasard, il est vivement conseillé de solliciter un spécialiste. L’intervention d’un prestataire qualifié permettra d’identifier les failles de sécurité et de les combler. Idéalement, l’entrepreneur fera appel à un Data Protection Officer (DPO). Ce dernier connait toutes les étapes à suivre pour mener à bien une mise en conformité. Cela implique la réalisation d’un audit RGPD et la tenue d’une formation destinée aux administrateurs.
En pratique, plusieurs changements seront nécessaires pour promouvoir une gestion rigoureuse des données. On citera notamment la création d’un registre de traitement. Cette tâche exige des connaissances techniques poussées. D’où l’intérêt de solliciter un professionnel.
Si la société concernée collecte des données sensibles ou réalise un traitement à grande échelle, il faudra désigner un DPO. La présence de ce spécialiste permettra d’assurer l’intégrité des données personnelles. Si l’on ne souhaite pas embaucher un intervenant externe, il est aussi possible de dispenser une formation RGPD à un employé. Ce dernier pourra ensuite assumer pleinement cette fonction et ses compétences seront reconnues par la CNIL.