Google Plus
LinkedIn

Mise en conformité au GDPR : les PME ne doivent plus tarder

Le 25 mai prochain, le Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais) entrera en application dans l’ensemble de l’Union européenne. Les PME, qui disposent de moins de moyens humains et financiers, seront également impactées par ce texte européen. A moins de 3 mois de l’échéance, les PME doivent dès maintenant débuter leur mise en conformité. En priorisant certaines mesures, elles pourraient encore  parvenir à temps à offrir à leurs clients et employés de meilleures garanties quant à la protection de leurs données personnelles.

L’annonce n’est pas neuve. Et le contenu du règlement pas si révolutionnaire qu’il n’y paraît. Mais le GDPR (Règlement sur la Protection des Données) est sur toutes les lèvres et fait couler beaucoup d’encre. La raison en est simple : après des années de flottement durant lesquelles les données personnelles étaient protégées par une directive européenne transposée de façon variable dans les législations des différents états-membres, ce nouveau règlement introduit deux éléments potentiellement anxiogènes pour les entrepreneurs, à savoir d’une part leur propre responsabilisation par rapport à la problématique et, d’autre part, la possibilité de lourdes sanctions en cas d’infraction. « La protection des données personnelles en Europe n’est pas une nouveauté en soi, rappelle Tine A. Larsen, présidente de la Commission Nationale pour la Protection des Données (CNDP). Mais ce qui change fondamentalement avec ce règlement, c’est que les entreprises ne devront plus introduire une notification ou demander une autorisation préalable pour traiter des données personnelles. Elles devront le faire d’elles-mêmes et l’effectivité des mesures prises sera contrôlée a posteriori, avec une possibilité de sanction à la clé. C’est une manière de responsabiliser les entreprises : si on utilise des données personnelles, il y a une contrepartie, à savoir garantir leur protection. »

Alors que la demande d’autorisation était auparavant très cadrée, et souvent remplie par les professionnels qui fournissaient les services ou le matériel de collecte de données, il revient aujourd’hui aux entreprises elles-mêmes de s’intéresser à la réglementation et de se mettre en conformité. De quoi poser problème aux structures plus réduites, qui ne peuvent pas compter sur une armada de consultants.

Les mêmes exigences pour les PME, pas les mêmes moyens

Le GDPR prend-il cet aspect en compte en réservant un traitement différent aux PME ? Pas vraiment. « Le texte s’applique à tout le monde, le petit artisan comme les grandes entreprises, indique Tine A. Larsen. Avec la digitalisation, qui imprègne tous les secteurs d’activité, même un petit coiffeur de quartier peut collecter des données personnelles sur ses clients, par exemple grâce à des cartes clients. » Ainsi, les principes généraux du GDPR sont invariables. « Les PME et les autres entreprises doivent se poser les mêmes questions, affirme Christophe Buschmann, membre effectif du Collège de la CNPD. La collecte de données que je réalise est-elle légale ? Ai-je informé les personnes dont je collecte les données ? Puis-je collecter ces données de manière moins intrusive ou massive ? Est-ce que je sais ce qui est fait des données collectées ? Les données sont-elles correctes et à jour ? Les données collectées sont-elles sécurisées et supprimées lorsqu’elles ne sont plus utilisées ? Pour une entreprise, quelle que soit sa taille, il faut pouvoir répondre à toutes ces questions et leur donner la réponse appropriée. »

L’investissement à consentir pour se mettre en conformité varie en fonction de plusieurs facteurs, notamment le contexte de l’activité de la PME, le type et la quantité de données personnelles traitées. Chez MGSI, une société luxembourgeoise spécialisée dans la protection des données, on la chiffre, dans certains cas, à plusieurs milliers d’euros. « Une PME qui n’emploie que 25 personnes mais qui est active dans plusieurs pays pourrait être logée à la même enseigne que des multinationales comptant des centaines d’employés, explique Mélanie Gagnon, CEO de MGSI. Certaines PME pourraient donc devoir investir plusieurs milliers d’euros pour mettre en place des mesures et des outils permettant de se mettre en conformité avec le GDPR. Or, leurs ressources ne sont évidemment pas comparables à celles des plus grandes structures. »

 

(Lire la suite ci-dessous)

  • Google Plus
    LinkedIn