Votre PME conforme au RGPD : suivez le guide
Publié le 24/09/2021 dans Solutions à la une
La mise en conformité avec le RGPD est l’obligation de chaque entreprise qui traite des données à caractère personnel. En Belgique, il s’agit majoritairement des micros, petites et moyennes entreprises. Aurélie Waeterinckx de l’APD et Cathy Habils, experte indépendante, expliquent à quoi une PME doit veiller.
Vous avez dit donnée à caractère personnel ?
Quelles données à caractère personnel votre PME traite-t-elle ? C’est la question centrale de la mise en conformité par rapport au RGPD. “Les entreprises en traitent plus qu’elles ne le pensent. Et c’est bien là que le bât blesse. La méconnaissance de sa propre situation ne stimule pas la mise en place des bonnes actions”, souligne Aurélie Waeterinckx porte-parole de l’APD, l’Autorité de protection des données.
Règlement ou pas, l’exercice est très intéressant selon Cathy Habils, GDPR Lead Auditor et DPO indépendante. “Je demande souvent à mes clients quelle serait leur réaction s’il s’agissait du traitement de leurs propres données personnelles. En quelques secondes, la démarche prend du sens.”
La conformité au RGPD est un processus continu qui soulève bien des interrogations. L’Autorité de Protection des Données (APD) répond aux questions les plus fréquentes.
Une PME n’a généralement pas besoin d’un DPO, mais bien d’un spécialiste RGDP.
Cathy Habils, GDPR Lead Auditor
Trois principales lacunes
Après consultation de plus de 250 PME, l’APD a détecté trois faiblesses majeures sur le terrain. La première concerne le principe (fondamental) de transparence. L’entreprise est consciente de son devoir d’information par rapport au traitement qu’elle réserve aux données, mais ne le communique pas, ou mal. “La lacune suivante concerne le principe d’analyse d’impact.
Un outil obligatoire pour les traitements susceptibles d’engendrer des risques élevés. La majorité des PME interrogées en ont la connaissance sans pour autant le mettre en place”, complète Aurélie Waeterinckx. Enfin, seuls 50% des répondants ont acquis les notions de ‘responsable du traitement’ et de ‘sous-traitant’ au sein de l’organisation.
Fausses croyances
Par ce qu’elle est souvent perçue comme une obligation administrative supplémentaire, trop de PME repoussent leur mise en conformité. Cathy Habils estime que 25% des petites structures sont allées au bout du processus. “Les PME associent trop souvent les démarches RGPD à des budgets insurmontables et la nécessité absolue de lourdes ressources externes. C’est faux, une PME n’a généralement pas besoin d’un DPO (NDLR Data Protection Officer), mais bien d’un spécialiste RGDP. Nuance. En quelques heures voire quelques jours, on règle déjà beaucoup.”
Respecter la réglementation européenne.
Les PME font partie de nos priorités et nous mettons dorénavant une vraie boite à outils à leur disposition.
Aurélie Waeterinckx, porte-parole de l’APD
Un registre simplifié
L’APD liste une série de lacunes secondaires : une méconnaissance des délais de conservation des données traitées, un manque de considération des règles en amont d’un projet ou encore l’inexistence du registre des activités de traitement. “Trop de PME pensent que le registre ne s’applique pas à elles. Pourtant, dès que le traitement est régulier, le RGPD en exige un.” Bonne nouvelle, pour combler cette imperfection, l'Autorité de protection des données met à disposition un modèle simplifié.
Une boite à outils pour PME
Les PME ne restent pas inactives au regard du RGPD. Elles scannent le web à la recherche de conseils, elles consultent leur organisation sectorielle… Un constat que l’APD a décidé de transformer en opportunité. “Les PME font partie de nos priorités et nous mettons dorénavant une vraie boite à outils à leur disposition. Je conseille deux publications de référence : le vade-mecum et le Plan d’action en 13 étapes. Des informations concrètes qui sont complétées par une brochure FAQ. Bref, un vrai tableau de bord pour les PME.”
BOOST comme support aux PME
Aider les micros, petites et moyennes entreprises de tout secteur dans la mise en œuvre du RGPD. C’est l’objectif du projet BOOST réalisé par l’APD et financé par l’Union européenne. Cette grande action de sensibilisation est aussi une source d’informations sans précédent. “Nous mettons, entre autres, des modèles de lettre à disposition, nous vulgarisons l’information via des vidéos, nous publions une newsletter et nous organisons des webinaires. Le dernier a réuni 735 inscrits. Preuve du besoin sur le terrain et de la pertinence de nos actions”, explique la porte-parole de l’APD.
Des questions sur la sécurité au sein de votre organisation ? Parlez-en avec l’un de nos experts.
L’Autorité de protection des données est un organe de contrôle indépendant chargé de veiller au respect des principes fondamentaux de la protection des données à caractère personnel. Depuis le 25 mai 2018, l’APD est le successeur de la Commission de la protection de la vie privée.
One
Le magazine IT de Proximus qui s’adresse aux CIO et professionnels IT actifs dans les PME.