PME : le nouveau règlement européen RGPD vous concerne également !

D’ici quelques mois, le RGPD (ou RGPD en anglais) entrera en vigueur entrainant des bouleversements majeurs dans les entreprises au fur et à mesure de l’implémentation de leurs différentes processus de mise en conformité. Même si cela ne semble pas une évidence, la loi n’est pas uniquement l’apanage des grands groupes mais concerne également les PME qui, à l’instar de toutes les entreprises modernes, capitalisent sur les données personnelles des consommateurs qu’elle collectent et traitent dans le cadre de leurs actions commerciales, mailing, recrutements ou encore de leurs devis…

Le RGPD impose en effet des obligations à toutes les entreprises collectant et traitant des données personnelles de citoyens européens,  quelle que soit leur localisation. Par ailleurs, au-delà des « responsables de traitements », il s’étend aujourd’hui aux sous-traitants, qui gèrent des données personnelles pour le compte de tiers, poursuivant ainsi une logique de responsabilisation de l’ensemble des acteurs impliqués. Ainsi,  toutes les entreprises sont concernées par le RGPD  –  de l’institut de sondage au prestataire de service informatique en passant par l’agence de communication et la SSII – mais également l’ensemble des départements de l’entreprise comme le service client, le marketing, les ressources humaines ou encore la comptabilité, …

A l’instar des grands groupes, les PME sont donc censées gérer leurs flux de données et leurs processus de traitement et prendre en compte les risques inhérents à leurs pratiques commerciales dans le respect de la vie privée des personnes concernées. Elles doivent également être en mesure de démontrer leur accountability, établir une politique de protection des données tout en étant capables de prouver à l’autorité compétente que  l’ensemble des considérations et directives de la loi a bien été prise en compte dans le processus décisionnel de l’entreprise. Si la nomination d’un DPO- délégué à la protection des données personnelles n’est pas une obligation pour les PME, elles devront quand même cartographier leur données pour connaitre leur localisation et mettre en œuvre toutes les mesures de sécurité adéquates pour les protéger. Pour accompagner les entreprises, la CNIL a définit différentes étapes à suivre (cf notre dernier post http://blog.trendmicro.fr/les-6-etapes-methodologiques-gdpr-de-la-cnil-nos-conseils-pour-bien-anticiper-votre-securite/). Et lorsque l’on sait qu’un défaut de conformité peut entrainer des sanctions très importantes de l’ordre de 10 millions d’euros pour une PME et 4% du chiffre d’affaires pour une grande entreprise, la tâche n’en est que plus urgente !

 

Leave a Reply

Your email address will not be published. Required fields are marked *