Actu
Protection des données : les petites entreprises tout aussi concernées que les grandes
Le règlement général européen sur la protection des données sera mis en œuvre le 25 mai 2018 pour améliorer la protection et la confidentialité des données et responsabiliser davantage les entreprises en développant l’auto-contrôle. Celles-ci devront dorénavant s’assurer que toutes les données qu’elles stockent sont en conformité avec la réglementation.
Le 25 mai prochain, toutes les entreprises devront se conformer à la nouvelle réglementation générale des données personnelles (RGPD). Celle-ci vise à établir des règles claires et unifiées pour que les individus puissent mieux contrôler les données qui les concernent. Les obligations visent toutes les entreprises, en B to B comme en B to C, quelle que soit leur taille, à partir du moment où elles collectent, traitent, gèrent et utilisent des données, que ce soit des fichiers collaborateurs en interne ou des données sur leurs clients ou fournisseurs. « Un ancien candidat qui a envoyé son CV à l’entreprise pour y postuler constitue par exemple une donnée collectée » cite Nathalie Rouvet Lazare, PDG de Coheris qui édite des solutions CRM et analytiques sur le sujet.
Protection des données personnelles : mettre en œuvre la nouvelle règlementation RGPD
Toutes les données stockées sont concernées
Les données considérées comme personnelles sont nombreuses : nom, adresse, localisation, identifiant, date de naissance, IP…, autrement dit toutes les données qui permettent d’identifier une personne. Même si les données ne sont pas utilisées et traitées, à partir du moment où elles sont stockées au sein de l’entreprise, elles sont concernées par la réglementation. Même chose en termes de forme : tous les fichiers, du tableur Excel aux bases de données de prospects, salariés ou visiteurs d’un site Internet ou d’une boutique physique, sont visés. Nathalie Rouvet Lazare se veut rassurante : « Les petites entreprises doivent elles aussi se mettre en ordre de marche et établir une feuille de route. Il ne faut pas y voir une usine à gaz ou une contrainte de plus mais utiliser cette nouvelle réglementation comme une opportunité pour optimiser les données de l’entreprise ». Si celles-ci ont tendance à collecter un maximum de données, au final, peu d’entre elles les utilisent. « Elles devront dorénavant mener une réflexion préalable sur leur objectif pour chaque donnée collectée. »
Se conformer au règlement en 3 étapes
Pour mettre en place une gouvernance des données personnelles, les entreprises doivent commencer par nommer une personne référente au sein de l’entreprise qui sera le pilote responsable de la mise en place des process et des outils. « Si les entreprises n’ont pas l’obligation légale de nommer un DPO (Data Protection Officer ou Délégué à la Protection des Données), il est essentiel de désigner un porteur de projet sur le sujet. » Deuxième round, réaliser un audit, soit cartographier toutes les données personnelles et sensibles de l’entreprise, définir dans quels types de fichiers elles sont utilisées et comment elles sont gérées. Enfin, pour chaque fichier identifié, l’entreprise doit passer au crible ses obligations et définir ses process et responsabilités pour s’assurer qu’elle est en conformité avec la loi. L’occasion de mettre en place plusieurs bonnes pratiques pour répondre aux nouvelles obligations liées à la RGPD, comme un process pour protéger les données dès leur conception – data protection de by design–, la vérification de la protection effective de ses données, l’élimination des données récoltées de façon illicite ou déloyale, la révision de ses procédures de consentement qui doit être clair et circonstancié. Et si l’entreprise souhaite partager ses données personnelles avec ses partenaires, elle doit en préciser l’identité et la finalité du partage. C’est ce que l’on appelle la récolte opt-in. Enfin, avec la RGPD, les entreprises doivent être en mesure de respecter l’exercice du droit d’opposition, de rectification, d’accès direct, de portabilité et d’effacement des données.
Des peines d’amende représentant 2 à 4% du CA
« Pas question pour les petites entreprises de se dire qu’elles passeront à travers les gouttes car n’importe quel individu peut demander un recours juridique en cas de violation de ses données personnelles. Elles ne peuvent donc pas s’exonérer de ces questions de sécurité des données. » Si celles-ci étaient auparavant gérées par la Cnil via une directive, c’est dorénavant une loi qui va régir les obligations des entreprises en matière de données personnelles et qui va les sanctionner en cas de violation de données à caractère personnel. L’amende peut s’élever jusqu’à 4 % du chiffre d’affaires mondial annuel de l’entreprise. Mais il y a surtout un risque de suspension et des dommages sur l’image et la réputation de l’entreprise. In fine, « la RGPD n’a pas seulement un sujet juridique mais c’est un sujet pratique et stratégique qui concerne tous les métiers », conclut Nathalie Rouvet Lazare.
Charlotte de Saintignon
Vous devez être connecté(e) pour poster un commentaire.
Commentaires