#LeBlog

RGPD : accompagner les PME dans leur mise en conformité

Le 11.06.2021
Paroles d'experts | 7 min

3 questions à Hervé Depoilly, Directeur Solutions RGPD et Michel Commun, Directeur Marché Conseil, chez Softeam, une marque de Docaposte

Les débats sur les usages des données personnelles, de leur collecte à leur traitement, ne sont pas récents. Avec le développement du numérique, la data fait aujourd’hui partie du quotidien des particuliers comme des entreprises pour qui les données répondent à des enjeux à la fois sécuritaires, commerciaux et économiques.

L’actualité met régulièrement en lumière les dérives et les abus autour de l’utilisation des données personnelles, ce qui nécessite des garde-fous pour veiller à la protection des libertés et à la vie privée. C’est ainsi que le règlement général sur la protection des données (RGPD) est entré en application pour toutes les organisations et tous les citoyens en Europe, en mai 2018.

Tiers de confiance numérique et expert du traitement de données sensibles, Docaposte lance une solution d’accompagnement, Privaciz Coach, qui facilite cette mise en conformité pour les entreprises, notamment les TPE et PME.

1. Qui est concerné par le RGPD et que risque-t-on à ne pas se mettre en conformité réglementaire ?

Hervé Depoilly :

La particularité de la réglementation RGPD est qu’elle nous concerne tous.

La portée du RGPG est mondiale à plusieurs titres, car le RGPD porte sur toutes les organisations présentes sur le sol européen traitant des données personnelles de citoyens européens, bien sûr, mais aussi de toute autre personne présente sur le territoire de l’UE quelle que soit sa nationalité.

Le RGPD protège également tous les citoyens européens, même si le traitement des données est réalisé hors Europe. Les GAFAM qui proposent des services aux Européens sur le territoire de l’UE sont donc bien entendu concernés. Le RGPD touche donc aussi certaines personnes non européennes ou certaines entreprises non européennes.

Enfin, le transfert de données hors UE est strictement encadré grâce à une panoplie d’outils juridiquement contraignants et à une classification des pays considérés comme « adéquats » ou non selon le niveau de protection des données personnelles imposé par la règlementation de ce pays.

En résumé, toutes les organisations présentes sur le sol de l’UE sont tenues de respecter le RGPD : de la multinationale à la TPE, qu’elles agissent en BtoB ou en BtoC, du ministère à la petite commune en passant par les associations. En effet, les données personnelles concernent les individus à la fois en tant que citoyens mais aussi en tant que salariés.

Michel Commun :

Les risques encourus en cas de manquement ou d’absence de mise en conformité vis-à-vis de la réglementation sont de quatre ordres :

  • FINANCIER : les organisations peuvent se voir infliger des sanctions financières, pouvant atteindre jusqu’ à 4% de leur chiffre d’affaires mondial pour le secteur privé ou jusqu’à 20 millions d’euros pour le secteur public.
  • IMAGE : hormis l’obligation de communiquer aux personnes concernées toute violation de données, la CNIL peut obliger une organisation à publier à ses frais une information dans la presse nationale en cas de non-conformité grave. Un résultat négatif immédiat garanti sur l’image qui entraine un autre risque…
  • COMMERCIAL : les enquêtes menées montrent que la majorité plus de 18 ans sont prêts à boycotter une entreprise peu respectueuse des données personnelles.
  • JURIDICO-FINANCIER : toute personne physique peut se tourner vers la CNIL et déposer plainte pour non-respect du RGPD. Mais le RGPD introduit et facilite un levier plus puissant encore, la possibilité d’action collective en justice dont les conséquences peuvent être importantes.

Avec le fort développement de la CYBERCRIMINALITE, on peut y rajouter les risques de cyber-attaques permettant de voler, publier ou altérer des données personnelles et qui mettront l’organisation en tort, avec les conséquences citées précédemment.

Voilà pourquoi, se mettre en conformité avec le RGPD doit être considéré comme stratégique, prioritaire et comme une opportunité de démontrer que l’organisation assure une bonne gestion et une bonne mise en sécurité des données personnelles. »

2. Ces pratiques indispensables de mise en conformité RGPD ne sont-elles pas inaccessibles aux PME ?

Hervé Depoilly :

« Les contrôles s’intensifient aujourd’hui et les sanctions sont publiques avec parfois une communication obligatoire dans la presse. Les entreprises, quelles que soient leur taille, même les start-up, peuvent être contrôlées à tout moment. Les entreprises peuvent également faire l’objet d’audit à la demande de leurs propres clients. Nous savons que la CNIL réalise 300 contrôles par an. Il est donc indispensable que toutes les organisations soient conformes au RGPD, au plus vite.

Toutefois, depuis que le règlement est entré en vigueur, la mise en place de ces nouvelles pratiques n’est pas du tout appréhendée de la même façon par les organisations concernées en fonction de leur taille. Une entreprise d'une certaine taille trouvera dans ses ressources internes une bonne partie des compétences nécessaires à la mise en conformité avec le RGPD : elle sera en capacité de désigner une personne qui va piloter le projet, de la former, et de trouver les ressources nécessaires dans les dimensions les plus complexes comme la sécurité informatique, les procédures d'organisation du travail, la mise à jour des contrats et autres mentions légales, politiques de cookies et de recueil de consentement sur les sites web…

Michel Commun :

C’est beaucoup plus difficile pour une TPE/PME : les difficultés à mettre en place le RGPD semblent plus importantes faute de maîtrise des sujets associés et de ressources…

La solution pour répondre à cette problématique généralisée dans les TPE/PME c'est donc l'accompagnement : que ce soit pour initier ou accélérer la cartographie de leurs traitements et de leurs données, les TPE/PME ont particulièrement besoin d’être accompagnées dans leurs démarches.

En effet, si la mise en conformité peut paraître être une tâche complexe et chronophage, elle est en réalité accessible si on suit les bonnes étapes et si on se dote d’un bon accompagnement. »

« Si la mise en conformité peut paraître être une tâche complexe et chronophage, elle est en réalité accessible si on suit les bonnes étapes et si on se dote d’un bon accompagnement. »

3. Comment Docaposte accompagne-t-elle ses clients TPE/PME dans leur mise en conformité au RGPD ?

Hervé Depoilly :

« Filiale numérique du Groupe La Poste, Tiers de confiance, Docaposte a pour mission de prolonger dans le monde numérique la promesse de la confiance portée historiquement par sa maison-mère dans le monde physique.

Ce sont aujourd’hui plus de 40 000 clients qui accordent leur confiance au quotidien à Docaposte: PME, ETI, grands comptes et organisations du secteur public. Rappelons également que Docaposte est expert dans le traitement de données sensibles et premier opérateur de données de santé en France, certifié HDS (Hébergement des données de santé).

Dans le contexte règlementaire lié au RGPD, et afin de venir particulièrement en soutien aux TPE/PME qui rencontrent des difficultés dans ce chantier réglementaire ou qui sont en retard dans leurs démarches, nos équipes ont mis en commun leurs expertises sur ces sujets réglementaires, leur savoir-faire techniques, notamment dans les plateformes numériques sécurisées, ainsi que dans l’accompagnement réglementaire.

Docaposte propose à ses clients TPE/PME une solution de bout en bout, Privaciz Coach, qui repose sur l’alliance de nos conseillers RGPD et d’un outil performant pour accompagner les entreprises et les guider pas à pas dans l’établissement de leur registre des traitements de données, étape n°1 vers la conformité au RGPD et socle de tout dispositif RGPD.

Pour rappel, 4 étapes sont préconisées par la CNIL pour être conforme au RGPD :

  1. Recenser les traitements dans un registre de traitements des données
  2. Faire le tri dans les données pour savoir si elles sont nécessaires au traitement
  3. Respecter les droits et choix des clients
  4. Sécuriser les données

Michel Commun :

Notre solution Privaciz Coach répond à la 1ère étape et indirectement aussi à l’étape 2 car en recensant les traitements, elle permet de réfléchir à la manière de faire le tri dans les données personnelles (principe de minimisation).

Il faut savoir que pour chaque traitement de données (paie des collaborateurs, fichier de prospection commerciale, constitution d’un listing pour envoi de newsletter…), il est nécessaire de lister les catégories de données traitées (nom, âge, sexe, numéro de téléphone…), à quoi servent ces données, qui peut y accéder (dans l’entreprise ou en externe) et comment elles sont sécurisées par l’entreprise...

L’offre Privaciz Coach, c’est donc :

  • La mise à disposition d’un coach par téléphone pour assister les organisations dans la construction du registre demandé par la CNIL
  • Un outil collaboratif simple d’utilisation permettant à toutes les parties prenantes de contribuer à la complétude de ce registre

L’accompagnement du coach permet ainsi de simplifier et d’accélérer la construction du registre des traitements et nos clients savent clairement ce qu’ils doivent compléter.

Tout se fait à distance par téléphone et l’outil est accessible de manière sécurisée 24/7 en ligne.

La formalisation du registre est limitée dans le temps, ce qui permet de mobiliser les équipes du client pendant un temps restreint.

Avec Docaposte, les TPE/PME ont donc désormais à portée de main une solution simple à comprendre et utiliser pour entamer en toute quiétude leur démarche de mise en conformité au RGPD à moindre frais.

En conclusion, je n’aurais qu’une phrase à ajouter : TPE/PME, le RGPD vous concerne aussi, et la mise en conformité n’est pas une option, alors faites confiance à Docaposte ! »

Offre de lancement

Réalisez un diagnostic gratuit de votre conformité au RGPD avec l’un de nos experts.


Dans l’actualité

Actualités, événements, communiqués de Presse, Webinar, réseaux sociaux... retrouvez toutes les infos Docaposte.

Visiter #Leblog

Visiter #Leblog