RGPD : Les bonnes pratiques pour les TPE/PME

Le règlement général sur la protection des données (RGPD) renforce les droits des citoyens européens sur la maîtrise de leurs données personnelles.

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle est une information concernant une personne physique identifiée ou identifiable (directement ou indirectement) : nom, prénom, photo, email, localisation, numéro de téléphone, de Sécurité sociale, adresse IP… Les éléments propres à son identité physique, physiologique, psychique, génétique, économique, sociale ou culturelle sont également des données personnelles. En France, c’est la loi Informatique et Libertés, modifiée récemment pour être alignée avec le RGPD, qui s’applique en matière de protection des données.

Quelles conséquences pour les TPE/PME ?

Avec le déploiement du RGPD en Europe, les entreprises doivent relever un double défi : rassurer leurs clients sur l’utilisation de leurs données personnelles et optimiser la gestion de ces données pour préserver leur activité économique. La mise en place du RGPD au sein des petites entreprises est une mission délicate, en raison du coût et des ressources employées. Les TPE sont tout autant concernées que les grandes entreprises. Même si votre entreprise n’est pas spécialisée dans le digital, elle exploite certainement des données : les fichiers de votre personnel ou votre fichier client par exemple. Les adresses mail professionnelles sont des données personnelles et sont soumises elles aussi au règlement européen. Attention également aux données issues des réponses à un questionnaire non anonyme.

Afin de vous faciliter la tâche et d’économiser du temps, vous pouvez faire appel à un consultant extérieur, qui vous aidera à être conforme au règlement. Respecter les directives du RGPD a de nombreux avantages. Cela vous permet :

  • de renforcer la confiance que vous portent vos clients ;
  • d’optimiser vos processus internes et de formaliser vos pratiques ;
  • d’améliorer la sécurité de vos données ;
  • d’avoir une vision d’ensemble de vos données et de leurs traitements pour savoir si ils sont rentables et si les efforts que vous déployez pour les collecter sont nécessaires.

C’est donc une contrainte qui pourra donc devenir une opportunité pour votre entreprise et son image auprès de vos clients. Selon plusieurs sondages de l’IFOP, 77 % des Français pensent que la transparence des entreprises dans l’utilisation de leurs données personnelles entrera à l’avenir dans leurs critères d’achat1. De plus, 81% disent être attentifs au traitement qui est fait de leurs données 2.

Les données que vous collectez font partie intégrante de votre activité économique : elles doivent être de plus en plus structurées, car leur quantité doit être limitée :« Les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités », précise l’article 5 du RGPD.

C’est ce que l’on appelle le principe de minimisation des données. Vous devez donc faire le tri et effacer les données personnelles « non-obligatoires ». Il vous est possible de nommer un salarié qui se chargera de cette tâche si vous ne souhaitez pas faire appel à un prestataire extérieur.

Mise en garde de la CNIL

En revanche, si vous souhaitez faire appel à un prestataire extérieur, sachez que la CNIL met en garde contre les tentatives d’arnaques de faux “experts RGPD”, dont les TPE sont les premières victimes. Si vous souhaitez être conseillé, vous pouvez contacter la CNIL au 01 53 73 22 22.
La CNIL met aussi à votre disposition plusieurs fiches pratiques rappelant les bases de la protection des données, sur son site www.cnil.fr

Pour rappel, le non-respect du RGPD peut engendrer une amende allant de 2 à 4 % de votre chiffre d’affaires. De quoi être attentif à ces obligations… 

1 Étude de l’IFOP, février 2018 
2 Enquête de l’IFOP, mai 2018

RGPD : Quels risques pour les petites entreprises ?

Rares sont les petites et moyennes entreprises ayant entamé les démarches pour être en règle avec le règlement général sur la protection des données (RGPD) . Devant la complexité des textes, les difficultés d’applications et de contrôle, certains dirigeants estiment qu’il est urgent d’attendre . Mais, concrètement, que risque les entreprises en cas de non-conformité avec le RGPD ?

Des sanctions possibles pour TOUTES les entreprises, TPE/PME comprises

D’une manière générale, ce sont les petites entreprises qui risquent de négliger le RGPD car elles ne se sentent pas vraiment concernées. Pourtant, comme les autres, les TPE/PME disposent de données, plus ou moins sensibles, se rapportant à des personnes physiques identifiées ou identifiables (ne serait-ce que celles de leurs salariés !). Le RGPD concerne en effet les entreprises de toute taille, localisées ou non en Europe, du moment qu’elles possèdent et traitent des données personnelles relatives à un citoyen européen…

Pour toutes, le risque de sanction est bien réel : si un de vos clients, prospects ou concurrents adresse une plainte à la CNIL, cette dernière aura l’obligation d’effectuer un contrôle. Cela peut donc arriver plus vite qu’on ne le croit ! Et les sanctions liées à une exploitation illégale des données seront très sévères : les amendes prévues peuvent atteindre 4% du chiffre d’affaires annuel.

Du coup, même si dans la réalité il n’y a que très peu de chance que vous soyez contrôlés, il est préférable de se mettre en conformité le plus rapidement possible ! Car sans parler de sanction financière, une non-conformité peut tout de même vous nuire…

Retrouvez le guide pratique de la CNIL dédié au TPE/PME (PDF)