Votre PME conforme au RGPD : suivez le guide

Vous avez dit donnée à caractère personnel ?

Quelles données à caractère personnel votre PME traite-t-elle ? C’est la question centrale de la mise en conformité par rapport au RGPD. “Les entreprises en traitent plus qu’elles ne le pensent. Et c’est bien là que le bât blesse. La méconnaissance de sa propre situation ne stimule pas la mise en place des bonnes actions”, souligne Aurélie Waeterinckx porte-parole de l’APD, l’Autorité de protection des données.

Règlement ou pas, l’exercice est très intéressant selon Cathy Habils, GDPR Lead Auditor et DPO indépendante. “Je demande souvent à mes clients quelle serait leur réaction s’il s’agissait du traitement de leurs propres données personnelles. En quelques secondes, la démarche prend du sens.”

Une PME n’a généralement pas besoin d’un DPO, mais bien d’un spécialiste RGDP.

Cathy Habils, GDPR Lead Auditor

Trois principales lacunes

Après consultation de plus de 250 PME, l’APD a détecté trois faiblesses majeures sur le terrain. La première concerne le principe (fondamental) de transparence. L’entreprise est consciente de son devoir d’information par rapport au traitement qu’elle réserve aux données, mais ne le communique pas, ou mal. “La lacune suivante concerne le principe d’analyse d’impact.

Un outil obligatoire pour les traitements susceptibles d’engendrer des risques élevés. La majorité des PME interrogées en ont la connaissance sans pour autant le mettre en place”, complète Aurélie Waeterinckx. Enfin, seuls 50% des répondants ont acquis les notions de ‘responsable du traitement’ et de ‘sous-traitant’ au sein de l’organisation.

Fausses croyances

Par ce qu’elle est souvent perçue comme une obligation administrative supplémentaire, trop de PME repoussent leur mise en conformité. Cathy Habils estime que 25% des petites structures sont allées au bout du processus. “Les PME associent trop souvent les démarches RGPD à des budgets insurmontables et la nécessité absolue de lourdes ressources externes. C’est faux, une PME n’a généralement pas besoin d’un DPO (NDLR Data Protection Officer), mais bien d’un spécialiste RGDP. Nuance. En quelques heures voire quelques jours, on règle déjà beaucoup.”

Les PME font partie de nos priorités et nous mettons dorénavant une vraie boite à outils à leur disposition.

Aurélie Waeterinckx, porte-parole de l’APD

Un registre simplifié

L’APD liste une série de lacunes secondaires : une méconnaissance des délais de conservation des données traitées, un manque de considération des règles en amont d’un projet ou encore l’inexistence du registre des activités de traitement. “Trop de PME pensent que le registre ne s’applique pas à elles. Pourtant, dès que le traitement est régulier, le RGPD en exige un.” Bonne nouvelle, pour combler cette imperfection, l'Autorité de protection des données met à disposition un modèle simplifiéNouvelle fenêtre.

Une boite à outils pour PME

Les PME ne restent pas inactives au regard du RGPD. Elles scannent le web à la recherche de conseils, elles consultent leur organisation sectorielle… Un constat que l’APD a décidé de transformer en opportunité. “Les PME font partie de nos priorités et nous mettons dorénavant une vraie boite à outils à leur disposition. Je conseille deux publications de référence : le vade-mecumNouvelle fenêtre et le Plan d’action en 13 étapesNouvelle fenêtre. Des informations concrètes qui sont complétées par une brochure FAQNouvelle fenêtre. Bref, un vrai tableau de bord pour les PME.”

BOOST comme support aux PME

Aider les micros, petites et moyennes entreprises de tout secteur dans la mise en œuvre du RGPD. C’est l’objectif du projet BOOST réalisé par l’APD et financé par l’Union européenne. Cette grande action de sensibilisation est aussi une source d’informations sans précédent. “Nous mettons, entre autres, des modèles de lettre à disposition, nous vulgarisons l’information via des vidéos, nous publions une newsletter et nous organisons des webinaires. Le dernier a réuni 735 inscrits. Preuve du besoin sur le terrain et de la pertinence de nos actions”, explique la porte-parole de l’APD.