Actu
RGPD : l'externalisation est conseillée pour les TPE/PME
Le RGPD c’est parti : toutes les entreprises doivent être en conformité au 25 mai 2018 avec le règlement sur la protection des données. Si certaines TPE ou PME ont encore du retard, pas de panique : Xavier Leclerc, CEO de DMPS, expert, livre quelques conseils. En premier lieu, il suggère d’adopter un système de mutualisation pour limiter les coûts et les risques.
« Il n’y a plus de délai, maintenant, toutes les entreprises doivent être prêtes » au RGPD (règlement général de protection des données personnelles), qui date du 27 avril 2016 , rappelle Xavier Leclerc, CEO de DMPS et fondateur et président de l’union des data protection officer (UDPO). Six étapes sont nécessaires aux entreprises pour se mettre en conformité. En effet, les entreprises de toutes tailles sont concernées, sans aucune possibilité de passer au travers de la directive européenne applicable en France et dans l’ensemble de l’UE au 25 mai 2018. « Le risque le plus important pour les plus petites, qui auraient oublié cette échéance, est d’être harcelé par de soi-disant experts RGPD », met en garde Xavier Leclerc. Avant d’y avoir recours, il est utile de consulter les guides conçus par la CNIL ou la CCI. Les organisations patronales ne sont pas en reste et chacune a tenté de faire œuvre de pédagogie : le Medef, l’U2P et la CPME. Les avocats peuvent aussi donner de précieux conseils à leurs clients. Il en est de même pour les experts-comptables, car ils sont en première ligne – leur mission les conduisant notamment à posséder les données personnelles des salariés dont ils établissent les bulletins de salaire.
Protection des données personnelles : mettre en œuvre la nouvelle règlementation RGPD
Sur les contrats, vérifier le périmètre et délimiter les responsabilités
« Il n’y a absolument rien de nouveau, il y a des évolutions, des ajouts, un droit à la portabilité », indique Xavier Leclerc, un rien provocateur. « Ce qui est nouveau, par rapport à la situation antérieure, c’est le périmètre », poursuit-t-il. Un moyen de contraindre les « GAFA » (Google, Amazon, Facebook, Apple) à se conformer au règlement, comme toutes les entités qui sont hors de l’Europe mais qui manipulent des données de résidents européens. Et à l’autre bout de la chaîne, la co-responsabilité des sous-traitants avec les donneurs d’ordres, puisque les prestataires sont appelés, eux aussi, à manipuler des données personnelles. « Il est important de vérifier les contrats, de délimiter la responsabilité de chacun », conseille l’expert.
Pour les TPE et PME qui ne sont pas prêtes… il faut initier le mouvement
Mais pour les retardataires qui craignent un contrôle inopiné alors que le RGPD entre en vigueur, pas de panique : il faut faire preuve de bonne volonté en montrant, en cas de contrôle, que tout est en cours de mise en œuvre. S’appuyer sur un DPO (délégué à la protection des données ou data protection officer) est une obligation qui peut rapidement être respectée car la mutualisation est une solution intéressante pour les TPE et PME. Et comment ne pas se faire avoir par tous ces nouveaux services qui surgissent depuis quelques mois à grand renfort de publicité ? « N’hésitez pas à demander le CV de ces nouveaux experts et demandez-leur quelles sont leurs références sur la loi informatique et liberté » (loi n°78-17 du 6 janvier 1978) , suggère Xavier Leclerc qui confie avoir « été un des premiers à exercer le métier de DPO en France ». Mais vérifier avec les acteurs de son secteur d’activité toutes les possibilités d’externalisation reste la piste à privilégier pour se mettre au plus vite en conformité.
Claire Padych
Vous devez être connecté(e) pour poster un commentaire.
Commentaires