PME et TPE, toutes concernées par le RGPD
Quel que soit le secteur d’activité, les TPE et PME qui collectent, stockent et exploitent des données à caractère personnel, pour leur compte ou en qualité de sous-traitant, sont tenues de respecter le Règlement Général sur la Protection des Données (RGPD), depuis le 25 mai 2018.
Les obligations sont-elles les mêmes pour toutes les entreprises ?
Les exigences du règlement européen varient selon la taille, la nature, le contexte, les finalités poursuivies par les traitements de données et le niveau d’exposition aux risques de la structure.
Ainsi, une PME ou TPE dont l’activité ne repose pas sur le traitement de données personnelles est soumise à de moindres obligations qu’une grande entreprise collectant des données à caractère personnel en grand nombre.
Les obligations du RGPD que les PME doivent respecter
-
Appliquer le principe de minimisation de la collecte des données en se limitant à la collecte des données strictement nécessaires aux finalités poursuivies.
-
Mettre en place des mesures techniques et organisationnelles pour garantir la sécurité des données.
-
Encadrer les relations contractuelles avec les partenaires et prestataires.
-
Appliquer le principe de privacy by design et/ou by default, en concevant ses produits et services dans le respect de la protection des données personnelles.
PME et RGPD : le mode d’emploi
Etape 1 – La création d’un registre du traitement des données
Le registre des traitements recense toutes vos opérations liées à la collecte de données personnelles, détaille les informations personnelles et leur utilisation ainsi que les destinataires des données et les mesures de sécurités déployées.
Etape 2 – Le tri et la conservation des données
Une fois le registre du traitement créé, il vous faut trier les données personnelles afin d’identifier celles ayant une réelle utilité pour l’activité de l’entreprise. Ce tri implique d’autres obligations comme la mise en place d’un référentiel des durées de conservation.
Etape 3 – La sécurisation des données
Étape cruciale régie par les articles 5 1.f, 32 du RGPD et l’article 4 de la LIL, sécuriser les données repose sur trois principes fondateurs de la mise en conformité au RGPD : la confidentialité, l’intégrité et la disponibilité des données
Petites et moyennes entreprises doivent-elles désigner un DPO ?
Selon l’article 37 du RGPD, la désignation d’un délégué à la protection des données personnelles (DPO) n’est pas conditionnée à la taille de l’entité mais à la nature et à l’ampleur des traitements de données opérés.
Un DPO est obligatoire dans le secteur privé pour :
-
Les entités procédant à un suivi régulier et systématique des personnes à grande échelle.
-
Les structures recueillant des données sensibles ou relatives à des condamnations pénales et infractions, à grande échelle.
Une PME ou une TPE remplissant ces critères doit donc nommer un DPO en interne ou externaliser la mission de DPO.
La CNIL sanctionne PME et TPE
Outre sa mission d’information, la Commission Nationale de l’Informatique et des Libertés (CNIL) dispose d’un pouvoir de contrôle auprès de tous les organismes publics et privés, et de toutes tailles.
Les répressions vont de l’avertissement à la sanction financière à l’encontre des responsables de traitements selon la gravité des manquements constatés.
Depuis le 1er avril 2021, la CNIL a renforcé ses contrôles en matière de consentement des cookies et de traceurs.
Dans une démarche de transparence et d’information, la CNIL met à la disposition du grand public et des entreprises toutes ses données dans open Cnil.
RGPD et PME : une contrainte et une opportunité de développement
Comprendre le RGPD et le mettre en conformité peut être un exercice complexe pour les petites et moyennes entreprises.
Or, bien mené, ce chantier peut :
-
Améliorer l’organisation de votre entreprise avec une meilleure gestion de vos données.
-
Augmenter votre productivité, avec des procédures fluidifiées, clarifiées et sécurisées.
-
Renforcer la sécurité numérique.
-
Véhiculer une image positive et renforcer la confiance des prospects et des partenaires.
Diagnostic de conformité au RGPD pour les TPE et PME, mise en œuvre de la conformité, Dpo externalisé… NHC vous accompagne pas-à-pas pour faire de la conformité, un formidable vecteur de croissance.
