Dans quelles mesures les PME/TPE sont-elles concernées par le nouveau Règlement en matière de Protection des Données Personnelles, applicable le 25 mai prochain ? Quels sont les  risques ? Comment les prévenir ?

Autant de questions parfois sans réponses, dans un contexte anxiogène entretenu par des prestataires, qui, insistant sur les lourdes sanctions financières en jeu, promettent une mise en conformité « clé en main » au RGPD, sans les compétences requises[1].

En réalité, le RGPD doit être appréhendé en tant que processus vertueux permettant la maîtrise de vos fichiers de données personnelles et améliorant vos relations de confiance avec :

  • vos clients et partenaires qui exigeront, comme prérequis à la poursuite des relations, une mise en conformité ;
  • vos salariés, aujourd’hui très sensibilisés aux risques de perte ou d’exploitation de données relevant de leur vie privée ;
  • les autorités de contrôle.

Il faut donc faire le point pour apprécier le niveau de protection de vos traitements et de sensibilisation au sein de votre société, puis déterminer les démarches restant à accomplir pour une mise en conformité.

Comment ?

En fonction du degré de maturité de votre entreprise en la matière, notre cabinet peut vous accompagner selon les étapes suivantes :

  • Pré-diagnostic (recensement des traitements et établissement du registre minimal),
  • Audit juridique, organisationnel et technique,
  • Plan d’action,
  • Suivi juridique.

Quand ?

Dès que possible, sachant que la présidente la CNIL a déclaré le 17 avril dernier à propos des TPE/PME que « Le 25 mai ne sonnera pas comme une date couperet. Si d’aventure des contrôles sont lancés, la CNIL prendra avant tout en compte les initiatives lancées par l’entreprise pour se mettre en conformité ».

En résumé, au 25 mai, plus de 70 % des entreprises françaises et européennes ne seront pas en conformité, mais elles doivent entamer une « courbe d’apprentissage » qui est plus simple qu’il n’y paraît, hormis pour les secteurs numériques ou les données sensibles (santé, appartenances syndicales etc…).   

 —

Marseille, le 18 mai 2018

[1] Le 4 mai dernier, la CNIL les a publiquement dénoncés, leur reprochant  d’adresser une simple documentation, un échange a minima, ou un audit sur la seule partie sécurité technique. Elle rappelle que la mise en conformité suppose un vrai accompagnement, par une personne qualifiée en protection des données personnelles, pour identifier les actions à mettre en place et assurer leur suivi dans le temps

Guides pratiques

Guide pratique RGPD en 10 points clés
Accord verticaux
Abus de position dominante
Salles de sport : anticiper et gérer les risques de contrôle de la DGCCRF