Skip to content

Le RGPD pour les TPE

Le RGPD pour les TPE

Redouté à son adoption, le RGPD ou Règlement Général sur la Protection des Données entend faire cesser les dérives liées au profilage, ou encore au non-respect du consentement explicite de l’internaute lors de la collecte et le traitement de ses données personnelles. De nombreuses conditions sont à respecter par les entreprises pour se conformer au RGPD, dont la sécurisation des données personnelles ou privacy by design. Aujourd’hui, de nombreuses institutions en charge du respect de la vie privée de l’internaute obligent les entreprises à se conformer au RGPD. Il existe même des organismes qui mettent à disposition des formations RGPD. Non seulement cette conformité sert à protéger au mieux l’internaute et ses données, mais elle peut se révéler très avantageuse pour l’entreprise. Tour d’horizon.

RGPD : quelles obligations pour les TPE/PME ?

À titre de rappel, le Règlement Général sur la Protection des Données, aussi connu sous l’appellation RGPD, est un règlement européen promulgué le 14 avril 2016 et en vigueur depuis mai 2018. Il vient remplacer l’ancienne directive européenne sur la protection des données datant de 1995.

Comme son nom l’indique, il s’agit d’un texte de loi visant à protéger les données à caractère personnel des personnes résidant en Europe, et, plus globalement, des individus vivant dans un pays membre de l’Union Européenne.

Par définition, les données à caractère personnel sont l’ensemble des informations concernant un individu que les entreprises exploitent dans un but lucratif. En guise d’exemple, les données personnelles peuvent être assimilées au nom d’une personne, son âge, sa profession, etc. Il existe aussi des données plus spécifiques, dites sensibles, comme les données de santé ou encore les coordonnées bancaires d’une personne.

Dans les faits, le Règlement Général sur la Protection des Données a pour objectif de sécuriser au maximum les données personnelles des individus concernés en responsabilisant les entités concernées par le RGPD qui traitent ces données.

En France, c’est la CNIL ou Commission Nationale de l’Informatique et des Libertés qui se charge du respect dans le traitement des données personnelles par les entités. Dans cette optique, les personnes morales de droit public tout comme les personnes morales de droit privé, peu importe la forme juridique de ces dernières, à l’instar des TPE et PME doivent se conformer au Règlement Général sur la Protection des Données.

De ce fait, certaines obligations doivent être suivies scrupuleusement par les PME et les TPE, en vertu de l’article 30 du Règlement Général sur la Protection des Données.

La transparence et l’utilisation appropriée des données des usagers

L’obligation de transparence et d’utilisation appropriée des données personnelles des usagers est l’une des principales mesures appliquées aux entreprises, quelle que soit leur taille, dès lors qu’elles procèdent au traitement de données.

Dans les faits, la PME ou la TPE doit tout d’abord rendre visibles les informations concernant le responsable du traitement des données (coordonnées et identité). De plus, l’entreprise doit mentionner la quantité de données qu’elle entend collecter.

En quelque sorte, l’obligation de transparence et d’utilisation appropriée des données est un corollaire du principe de proportionnalité établie par la Loi Informatique et Liberté. Ce principe impose aux responsables du traitement de données à ne collecter que les données strictement nécessaires et de mentionner aux usagers dans quel cadre leurs données seront utilisées.

À noter : le responsable du traitement ou le DPO se doit d’informer l’usager si ses données sont partagées avec une autre entité ou non.

Le droit d’accès aux données personnelles collectées

Le droit des usagers à accéder à leurs données personnelles est une obligation pour les sociétés prévue par la loi Informatique et Liberté et par le Règlement Général sur la Protection des Données en son article 15. Dans la pratique, les sociétés se doivent :

  • de communiquer aux personnes concernées la finalité de leurs données ;
  • de fournir à la personne concernée un exemplaire de ses données personnelles qui sont la cible du traitement ;
  • de communiquer à la personne concernée la durée pendant laquelle leurs données personnelles seront conservées.

Le droit à la rectification

Le droit à la rectification des données personnelles est un prolongement du droit d’accès aux datas par les usagers. Il s’agit d’une obligation pour les sociétés de permettre aux personnes concernées de modifier leurs données personnelles en cas d’erreur.

Cette obligation est prévue par l’article 16 du Règlement Général sur la Protection des Données, qui dit : « la personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire ».

Le droit d’opposition

Le droit d’opposition permet à toute personne de s’opposer à la collecte de ses données personnelle. Par extension, ce principe est une obligation pour les PME et TPE de demander l’accord de la personne concernée avant d’effectuer la collecte de ses données à caractère personnel. Le droit d’opposition est prévu par l’article 21 du Règlement Général sur la Protection des Données.

Le droit à l’oubli

Le droit à l‘oubli ou droit à l’effacement est un principe qui oblige les sociétés à ne conserver les données personnelles des usagers que pendant la période nécessaire au traitement de celles-ci. Passé ce délai, le responsable du traitement a l’obligation de les effacer et d’en notifier le propriétaire des données concernées. Le droit à l’oubli est consacré par l’article 17 du Règlement Général sur la Protection des Données.

La cybersécurité

Aussi appelée sécurité informatique, la cybersécurité est obligatoire pour toute société qui traite des données personnelles.

Dans la pratique, ces sociétés doivent améliorer la sécurité de leur système informatique en établissant des protocoles de chiffrement de données, des protocoles d’authentification ou encore des méthodes rendant les réseaux étanches. Toutes ces dispositions visent à prévenir tout risque de vol de données ou de cyber piratage.

 

RGPD : quels avantages pour votre TPE/PME

Le Règlement Général sur la Protection des Données procure de nombreux avantages pour l’entreprise. Se conformer aux normes actuelles de protection contribue non seulement à l’amélioration de la sécurité informatique, mais cette pratique se révèle aussi intéressante au niveau financier.

Une meilleure utilisation des données à caractère personnel

À une époque où les données personnelles sont considérées comme faisant partie du patrimoine d’une société, il est aujourd’hui primordial d’avoir une base de données cohérente. En effet, le Règlement Général sur la Protection des Données assure aux sociétés une base de données en adéquation avec leurs activités.

En effet, des données à jour et pleinement exploitables assurent une meilleure prospection auprès des éventuels clients.

Une amélioration constante de la sécurité informatique

Étant donné leur envergure, les TPE et les PME délaissent souvent la sécurité informatique. Cependant, grâce au Règlement Général sur la Protection des Données imposé aux TPE et aux PME, ces dernières ont l’occasion de mettre en place ou de rénover l’entièreté de la cybersécurité.

De plus, le RGPD permet aux TPE et aux PME de rester au courant des nouvelles pratiques en termes de sécurité informatique, contribuant à l’amélioration de la sécurité des données stockées.

Par extension, une sécurité informatique améliorée et à jour contribue nettement à la réduction de la cybercriminalité. Dans la pratique, plus les données à caractère personnel sont protégées, plus elles sont difficiles à subtiliser.

Une amélioration de l’image de l’entreprise

La conformité au Règlement Général sur la Protection des Données influence directement les clients sur la vision qu’ils ont de la société.

En effet, une société conforme au RGPD a le plus souvent une meilleure image, car elle est synonyme de société fiable, notamment dans ses méthodes de traitement et de protection de données à caractère personnel.

Ce gage de sécurité est un véritable atout pour la société dans la mesure où les clients et les partenaires lui accordent plus confiance. De même, la qualité de la relation entre ces acteurs s’en retrouve aussi améliorée.

Une amélioration des circuits de communication

Le Règlement RGPD assure une meilleure interaction du client avec l’entreprise et vice versa. Cette interaction se traduit par le fait que si le client ne reçoit que les informations qu’il a décidé de recevoir, une meilleure étude peut être faite par la société.

 

RGPD : un avantage concurrentiel pour les TPE/PME à long terme ?

Malgré les nombreuses contraintes et obligations occasionnées par la conformité au Règlement Général sur la Protection des Données, de nombreux avantages sont perceptibles. D’ailleurs, de plus en plus de TPE et de PME voient en ces contraintes une opportunité de se démarquer de la concurrence.

Sur le court terme, les avantages concurrentiels ne sont pas palpables. Mais à moyen et à long terme, une entreprise conforme au RGPD peut facilement tirer son épingle du jeu.

L’instauration d’une relation de confiance entre l’entreprise, ses partenaires et les clients

La conformité au Règlement Général sur la Protection des Données contribue à l’amélioration de l’e-réputation d’une société.

L’e-réputation est par définition l’image que projette l’entreprise sur le Web. Aujourd’hui la confiance numérique est primordiale pour toute société qui entend prendre de l’envergure et trouver de nouveaux marchés. Or, pour s’octroyer une bonne place sur un nouveau secteur, il est nécessaire d’avoir de nouveaux clients et de nouveaux partenaires.

C’est dans cette optique que l’e-réputation d’une société conforme au RGPD joue un grand rôle. En effet, une société conforme au RGPD jouit d’une meilleure e-réputation. De ce fait, les clients et les partenaires économiques sont plus enclins à se tourner vers elle, car elle peut leur garantir une meilleure sécurité de leurs données.

Ce constat est d’autant plus véridique que, selon une étude menée en 2017 dans le cadre du Trust & Privacy day, la majorité des Français préfèrent se tourner vers une société conforme au RGPD. De ce fait, l’e-réputation et la conformité au Règlement Général sur la Protection des Données peuvent être perçues comme des facteurs entrant en compte pour un client au moment de choisir une entreprise avec qui collaborer.

Une stratégie marketing améliorée

Le Règlement Général sur la Protection des Données impose aux entreprises de ne collecter que les données strictement nécessaires à leurs études. De plus, le RGPD impose l’aval des usagers avant la collecte de leurs données à caractère personnel.

Ces contraintes permettent aux entreprises de ne cibler que des prospects de valeur pouvant contribuer à une meilleure étude de marché. En effet, même si la liste de contacts se voit significativement réduite, ces derniers peuvent néanmoins fournir de précieuses informations.

De plus, les entreprises gagnent un temps considérable pour la prospection. Les mails et les campagnes de communication ne s’adressent qu’aux prospects réellement intéressés par les produits de l’entreprise. De ce fait, il est plus facile de faire le tri entre clients potentiels et simples visiteurs du site de l’entreprise.

À titre illustratif, il est clair que s’adresser à 100 clients intéressés est préférable et moins chronophage qu’en solliciter un millier au hasard.

Une croissance à l’international accélérée

Bien que le Règlement Général sur la Protection des Données soit un ensemble de lois applicables aux personnes morales de droit public ou privé en Europe, sa portée est tout de même mondiale. Il est vrai qu‘Internet ne connaît pas de frontières. Une entreprise dont le siège social est établi à l’autre bout de la planète est ainsi dans la possibilité de prospecter en Europe.

C’est dans ce souci d’absence de frontières sur la Toile que le RGPD entend à uniformiser les normes de protection de données. Ainsi, une entreprise conforme au RGPD, dont le siège social est établi en Europe, jouit d’une bonne réputation auprès de ses clients hors de l’Europe. L’inverse est valable pour les entreprises hors de l’Europe qui se conforment au RGPD et qui souhaitent prospecter en Europe.

De ce fait, la conformité au Règlement Général sur la Protection des Données assure aux entreprises, peu importe le lieu de leur siège social, une rapide expansion à l’international.

L’émergence d’un nouveau modèle économique

Bien avant leur mise en vigueur, la sécurité informatique et la transparence sur la collecte des données à caractère personnel étaient déjà au cœur des préoccupations dans certains secteurs. C’est le cas par exemple des banques et d’autres institutions de finances. Ainsi, la conformité au Règlement Général sur la Protection des Données ne procure aucun avantage concurrentiel pour ce genre d’institutions.

Pour les entreprises évoluant dans un tout autre secteur comme celles qui monétisent les données, la conformité au RGPD peut être un véritable coup de pouce. À terme, elle peut occasionner la création d’un tout nouveau modèle économique ayant la transparence et la confiance numérique pour bases.

D’ailleurs, une étude menée par NetApp a révélé que 45 % des Français sont enclins à débourser davantage pour une marque dont l’éthique dans le traitement des données personnelles n’est plus à prouver.

 

RGPD TPE/PME : comment se mettre aux normes ?

Malgré l’entrée en vigueur du Règlement Général sur la Protection des Données, il existe de nombreuses entreprises qui ne sont pas encore conformes. Ce constat est d’autant plus visible chez les TPE et les PME. De ce fait, plus qu’une nécessité, se conformer au Règlement Général sur la Protection des Données est une obligation pour les TPE et les PME.

Pour y remédier, BPI France et la CNIL mettent en place des guides d’accompagnement et des formations au RGPD pour aider les TPE et les PME à se conformer au RGPD.

À noter : la procédure de conformité au Règlement Général sur la Protection des Données est la même pour toute entreprise, qu’elle soit en cours d’activité ou que l’entreprise en soit à sa création, peu importe sa forme juridique ou son envergure. Autrement dit, il n’existe pas d’exception pour les entreprises concernées par le Règlement Général sur la Protection des Données.

Prendre en compte les obligations imposées par le Règlement Général sur le Protection des Données

La conformité au Règlement Général sur la Protection des Données nécessite de faire le point sur un certain nombre d’obligations.

Le principe d’accountability

Le principe d’accountability peut être défini comme étant une obligation pour le responsable du traitement d’assurer une collecte de données en toute légalité, conformément aux dispositions du RGPD. Dans cette optique, le responsable du traitement doit :

  • faire connaître leurs droits aux propriétaires des données collectées ;
  • sécuriser au maximum les données collectées.

Le principe de privacy by design

Le privacy by design est l’obligation pour la société de mettre en place des mesures de sécurisation des données personnelles au moment où un nouveau produit ou un nouveau service voit le jour.

La nomination d’un DPO

Le DPO ou Data Protection Officer a pour mission de protéger les données à caractère personnel au sein de l’entreprise. En France, il est aussi appelé délégué à la protection des données. Le DPO tient une importance primordiale dans la vie d’une société conforme au RGPD, car il est à la fois un juriste qui se doit de se tenir au courant des nouvelles réglementations, mais aussi un informaticien aguerri.

Dans la majorité des cas, le DPO est un prestataire de la société.

La tenue d’un registre de traitement de données à caractère personnel

Le registre de traitement de données à caractère personnel est un document sous format Word ou PDF qui renferme les données collectées. Il renferme également :

  • les parties directement responsables dans le traitement des données ;
  • les spécificités des données personnelles traitées ;
  • la finalité des données collectées ;
  • la durée de conservation des données collectées ;
  • la méthode de sécurisation des données collectées.

Pour plus de transparence, la CNIL conseille aux sociétés de tenir deux registres de traitement de données. Le premier doit renfermer les données personnelles collectées par les sociétés, dont elles sont directement responsables. Le deuxième registre, quant à lui, doit présenter les données personnelles traitées par les sous-traitants, les prestataires et les données personnelles des clients.

Faire un état des lieux de la TPE/PME

Dresser un bilan de la société ou de l’entreprise est la première action à engager pour se conformer au Règlement Général sur la Protection des Données. Cette première étape sert à l’identification des actions à poursuivre en vue de la conformité de chaque traitement de données. Une fois les actions clairement ciblées, il faut établir un plan d’action.

Le plan d’action en question doit s’articuler autour des objectifs du Règlement Général sur la protection des Données, qui sont :

  • la priorisation des droits des internautes ;
  • la responsabilisation des entités qui se chargent du traitement des données à caractère personnel ;
  • l’amélioration de la sécurité informatique.

Trier les données existantes

Cette étape vise à avoir une base de données pertinente. En effet, il n’est pas nécessaire d’avoir une tonne d’informations si elles ne peuvent pas être traitées.

En guise d’exemple, il n’est pas nécessaire de recenser dans la base de données si les employés d’une société ont des enfants, si la société ne prévoit pas de primes pour ces enfants. De ce fait, la meilleure action à entreprendre est de ne garder que les données nécessaires et de ne permettre qu’aux personnes habilitées de les exploiter.

Recourir à un prestataire externe

Même si la conformité au Règlement Général sur la Protection des Données est une nécessité immédiate, il arrive que les sociétés mettent du temps pour prendre les mesures adéquates.

Heureusement, de nombreux organismes peuvent se charger de conformer la TPE ou la PME au RGPD. Dans cette optique, les prestataires prennent en charge la mise en place d’un système informatique sécurisé. Dans certains cas, ces prestataires font aussi office de délégués à la protection des données.

La sécurisation des données

La sécurisation des données personnelles collectées par une entreprise peut se faire de différentes manières. Entre autres, il faut :

  • régulièrement mettre à jour les logiciels et les antivirus ;
  • régulièrement changer les mots de passe et codes d’accès ;
  • le chiffrer et crypter les données personnelles collectées de telle sorte à les rendre inutilisables en cas de vol.

La sécurisation des données est d’autant plus nécessaire si l’entreprise traite et stocke des données sensibles comme les données de santé et d’autres informations encore plus spécifiques.

À noter : malgré la mise en place des moyens de sécurisation de données, des fuites ou des vols de données peuvent tout de même avoir lieu. Le cas échéant, la PME ou la TPE est tenue d’en informer la CNIL dans un délai de 72 heures après que l’infraction a été constatée.

 

TPE/PME : quelles conséquences en cas de non-conformité au RGPD ?

Malgré l’entrée en vigueur du Règlement Général sur la Protection des Données, de nombreuses sociétés ne sont pas encore conformes à ce jour. Il est vrai que les coûts liés à la mise en conformité peuvent constituer un frein.

En effet, pour une PME, les dépenses s’élèvent jusqu’à 10 000 € hors taxe, tandis que pour une TPE, elles varient de 850 € à 1 500 € hors taxe. Cependant, il arrive que des sociétés jugées conformes au RGPD fassent quelques dérives et aillent à l’encontre de leurs obligations.

Dans un cas ou dans l’autre, des sanctions sont prévues à l’encontre des sociétés qui ne se conforment pas au RGPD ou qui ne respectent pas leurs obligations.

Dans cette optique, la CNIL contrôle la conformité des sociétés au RGPD en France. Dans toute l’Europe, le contrôle de la conformité au RGPD revient à la Commission de protection de la vie privée, qui sera renommée Autorité de Protection des Données ou ADP. Ces entités se doivent d’agir avec fermeté dans leur contrôle et peuvent être saisies à la suite de plaintes.

Les sanctions prévues en cas de non-conformité au RGPD

La CNIL est en mesure de sanctionner les sociétés en cas de non-respect de la conformité au RGPD. Ces sanctions sont graduelles et peuvent aller du simple avertissement à la sanction administrative, en passant par l’amende ou l’emprisonnement. Il peut s‘agir :

  • de l’avertissement ou la mise en demeure de la société non conforme ;
  • de l’injonction assortie à une cessation des violations du RGPD dans les plus brefs délais ;
  • de la limitation ou de l’interdiction de traitement de données par l’entreprise durant une certaine période ;
  • de la sanction administrative en cas de récidive de l’entreprise ou si cette dernière ne tient pas compte de l’injonction.

Les sanctions administratives

Les sanctions administratives en cas de non-conformité au RGPD sont prévues par l’article 83 du Règlement. Les sanctions administratives à appliquer dépendent de la gravité de l’infraction.

Ainsi, l’entreprise doit payer une amende représentant de 2 % de son chiffre d’affaires mondial ou une amende de 10 millions d’euros en cas de :

  • manquement aux obligations de la part du responsable du traitement ou de la part du sous-traitant ;
  • manquement aux obligations de la part de l’organisme de certification ;
  • manquement aux obligations de la part de l’organisme responsable du respect des codes de conduite.

En cas de non-respect ou de mauvaise application du Règlement Général sur la Protection des Données, l’entreprise concernée doit s’acquitter d’une amende représentant 4 % de son chiffre d’affaire mondial ou d’une amende de 20 millions d’euros. Cette sanction administrative prend effet dans les situations suivantes :

  • violation du consentement de la personne à fournir ses données personnelles ;
  • non-respect des droits des personnes (droit à l’oubli, droit d’accès, droit de rectification, etc.) ;
  • l’entreprise confie les données personnelles de ses clients à une organisation internationale ou à un pays quelconque ;
  • l’entreprise ne respecte pas l’injonction qui lui a été donnée ou/et elle continue de traiter et de collecter les données des internautes.

Les sanctions pénales

Les sanctions pénales en cas de non-respect du Règlement sont prévues par l’article 84 du Règlement et le Code pénal. Elles font suite aux violations du RGPD non sanctionnables d’amendes administratives. À titre illustratif, on peut citer entre autres la dissimulation de la finalité des données collectées.

Dans la majorité des cas, les sanctions pénales peuvent prendre la forme d’un emprisonnement ferme jusqu’à 5 ans et une amende de 300 000 €.

L’indemnisation des victimes

Les personnes concernées par la violation du RGPD fait par les entreprises peuvent prétendre à des dommages et intérêts. Elles sont dans la possibilité de porter plainte auprès des autorités compétentes. De ce fait, le paiement de dommages et intérêts aux victimes vient s’ajouter aux sanctions pénales ou administratives prononcées contre l’entreprise en tort.

La perte de réputation de l’entreprise

Le non-respect ou la non-conformité au Règlement Général sur la Protection des Données entraîne inéluctablement la perte de confiance des clients et des partenaires de l’entreprise. En effet, les clients tout comme les partenaires privilégient les sociétés de confiance aptes à leur garantir la sécurité et la transparence dans leurs actions.

À terme, une entreprise non conforme au RGPD peut enregistrer une baisse significative de son chiffre d’affaires en plus d’une mauvaise image auprès des futurs clients.

Dernière mise à jour le

Samuel est co-fondateur de LegalPlace et responsable du contenu éditorial. L'ambition est de rendre accessible le savoir-faire juridique au plus grand nombre grâce à un contenu simple et de qualité. Samuel est diplômé de Supelec et de HEC Paris

Laisser un commentaire

avatar
  S’abonner  
Notifier de