Table des matières
Le Règlement Général sur la Protection des Données (RGPD) est en vigueur depuis le 25 mai 2018. Pour les grandes entreprises, cet évènement s’est accompagné de nombreux changements. Les PME se sentent moins concernées par cette nouvelle législation. Pourtant, le RGPD possède un vaste champ d’application.
Comprendre la portée du RGPD
La commission européenne a adopté le RGPD dans le but de renforcer le patrimoine numérique des citoyens. En effet, les affaires de détournement de données et de violation de vie privée se sont multipliées au cours de ces dernières années. Cela s’explique principalement par les abus commis par certains géants du web.
Dans ce contexte, la plupart des gens pensent que le RGPD cible exclusivement les multinationales comme Google ou Facebook. En réalité, le champ d’application de ce règlement est bien plus vaste. Il concerne toutes les opérations de collecte et de traitement de données quelle qu’en soit l’envergure. De plus, ses dispositions s’appliquent aux établissements disposant d’un système informatique hors ligne. Du moment que des informations concernant des tiers sont conservés les entrepreneurs doivent se référer au RGPD.
Ainsi, les PME n’échappent pas aux nouvelles obligations imposées par les autorités compétentes. Seulement, les actions à mener pour se conformer à cette réglementation diffèrent en fonction des activités de l’enseigne et de la nature des données stockées. Aujourd’hui, il est préférable de solliciter un spécialiste avant d’entamer une mise en conformité. De cette façon, on parvient à prendre toutes les mesures nécessaires pour respecter le droit des personnes dans les PME.
Les opérations à mener pour se conformer au RGPD
Se conformer au RGPD PME est bien plus difficile qu’on ne le pense. Les opérations à effectuer dépendent du niveau de sécurité du système et des workflows. Pour établir un plan d’action cohérent, il faudra évaluer le périmètre des données sensibles dans un premier temps. Dans cette optique, un spécialiste va intervenir pour réaliser un audit. Les résultats de cette étude préliminaire serviront à définir les principaux axes du projet.
Quoi qu’il en soit, une telle démarche exige la création d’un registre. Cet élément permettra d’évaluer régulièrement l’état des données et d’exaucer les demandes des tiers. Si l’établissement manipule des informations sensibles (coordonnées bancaires, documents confidentiels…), la présence permanente d’un Data Protection Officer sera indispensable. Ce professionnel joue un rôle important dans l’application du RGPD. Il s’assure de l’intégrité du système tout en entretenant une correspondance avec les autorités de contrôle. En France, cet intervenant enverra des comptes rendus périodiques à la Commission Nationale de l’Informatique et des Libertés (CNIL). Cela permettra notamment de protéger l’entreprise contre d’éventuels contentieux juridiques. La CNIL mène l’enquête si elle reçoit des plaintes concernant les pratiques douteuses d’une compagnie en matière de gestion de données.