Publications

Les petites entreprises face au poids du RGPD par Marianne Saber
Publié le 27 novembre 2018

Le Règlement Général sur la Protection des Données (RGPD) a poussé de nombreuses entreprises à se mettre en conformité. La mise en conformité permet certes d’écarter tout risque de sanction des autorités de contrôle, mais elle est aussi l’occasion pour les entreprises de se restructurer, de réécrire leur gouvernance et d’améliorer leur image auprès de leurs clients. Or certaines entreprises, de par leur taille, ne peuvent faire l’objet d’une restructuration aussi poussée qu’impose le RGPD.

Quelles solutions pour ces entreprises à petite taille ?

 

  1. Le schéma classique pour les grandes entreprises

Pour se mettre en conformité, une entreprise peut commencer par auditer ses différents départements, afin de se rendre compte des écarts entre la façon dont les données sont traitées, et la façon dont elles devraient être traitées si le RGPD est respecté. Les écarts ainsi constatés vont lui permettre d’établir un programme de mise en conformité qui liste toutes les actions à mettre en œuvre pour s’aligner avec le RGPD. Pour faciliter le suivi du projet, les actions sont regroupées en chantiers représentant les principaux axes autour desquels s’articule le Règlement (ex. chantier sur les transferts de données, chantier sur les durées de conservation, sur les droits des personnes, etc.).

Si l’entreprise se trouve dans l’un des trois cas de désignation obligatoire, elle devra nommer un Délégué à la Protection des Données[1](en anglais Data Protection Officer ou DPO), qui se chargera alors de piloter le programme de mise en conformité. Ce dernier comprend la rédaction de politiques et de procédures assez lourdes, la renégociation de certains contrats (contrats avec les sous-traitants et contrats impliquant des transferts de données hors UE), la mise en place de mesures de sécurité et de mesures techniques (purge des données) …

Les actions sont assignées aux différents départements et le projet est piloté par le DPO, qui va animer les réunions et les ateliers de travail, répartir les tâches et assurer le suivi global. Ainsi, un véritable programme de mise en conformité, complet de bout en bout, requiert des ressources budgétaires et des ressources humaines. En d’autres termes, l’entreprise qui veut se mettre en conformité doit avoir les compétences internes ou au moins la possibilité de recourir à des compétences externes. Ses équipes doivent avoir assez de temps à allouer au projet afin d’être impliquées dans celui-ci et non pas avoir un simple rôle d’observateur, et enfin elle doit avoir le budget nécessaire pour mobiliser toutes ses personnes et pour réaliser les développements informatiques nécessaires.

Or les petites entreprises ont rarement tous ces moyens à leur disposition : comment doivent-elles procéder pour se mettre en conformité ?

 

  1. Un schéma à adapter aux petites entreprises

Une petite entreprise pourra prévoir une ou deux journées d’audit pour les quelques services concernés, et ressortir ensuite un programme de mise en conformité sur mesure, prenant en compte sa taille et ses ressources.

Pour commencer, une telle entreprise ne peut se noyer dans des livrables à plusieurs pages, des politiques et des procédures imposées à ses quelques salariés et qui ne seront pas lues. Elle devrait au contraire privilégier une seule politique générale, qui énonce les règles standards de la protection des données à faire respecter en interne, et qui peut inclure des parties qui auraient fait l’objet de politique à part entière chez les grandes entreprises (ex. règles sur le traitement de données sensibles, sur les transferts hors UE, Privacy by Design etc.). Certains sujets méritent tout de même d’être traités à part. Il s’agit de sujets particulièrement techniques qui requièrent plus d’attention, mais qu’il est tout à fait possible de traiter sans leur allouer une grande part de budget :

  • Les durées de conservation des données personnelles : Une procédure sur la suppression des données peut être remplacée par un simple référentiel sur les durées de conservation, qui détaillerait les durées légales à respecter selon les finalités. Le référentiel peut éventuellement être accompagné d’une page énonçant quelques directives (ex. qui doit vérifier lorsqu’une durée est atteinte, dans quels cas favoriser l’archivage ou l’anonymisation, etc.)

 

  • La gestion des droits des personnes : Les grandes entreprises auront toujours une procédure de gestion des droits des personnes, qui comprend pour chaque droit un schéma spécifique à suivre. Une petite entreprise pourra condenser le tout en un seul schéma et une procédure de deux ou trois pages expliquant les différents droits, les délais de réponse et les éléments à vérifier (pièce d’identité de la personne). Si elle n’a pas de DPO, elle pourra confier la gestion des droits à chaque service concerné (service RH pour les droits des salariés, service client pour les droits des clients…)

 

  • La notification des violations des données personnelles : Bien qu’une petite entreprise ne puisse mettre en place une cellule de crise pour gérer une violation de données, elle doit tout de même pouvoir identifier un tel incident et notifier l’autorité de contrôle dans les temps. Elle peut par exemple confier cette tâche à son prestataire IT, en veillant bien à ce qu’il l’informe dès qu’une violation de données personnelles survienne sur ses systèmes d’information.

 

  • L’étude d’impact sur la vie privée : Il s’agit là d’une obligation assez lourde que les entreprises peu sensibilisées ont du mal à mettre en œuvre. Le plus simple serait d’utiliser l’outil mis à disposition par la CNIL[2]afin de réaliser les études d’impact. L’entreprise pourra avoir en amont une checklist des neufs critères qui servent à déterminer s’il est nécessaire ou non d’effectuer une étude d’impact[3].

D’autres sujets encore sortent du cadre de la rédaction de politiques. Il s’agit par exemple de la nécessité de désigner un DPO, à laquelle une entreprise même de petite taille ne peut échapper lorsqu’elle se retrouve dans l’un des trois cas de désignation obligatoire. Cependant, elle peut envisager des solutions moins coûteuses que le recrutement d’un DPO à temps plein : confier la tâche de DPO en interne à condition qu’il n’y ait pas de conflit d’intérêts avec le poste de la personne, recourir à l’externalisation avec possibilité d’avoir un DPO à temps partiel, ou dans certains cas mutualiser un DPO avec des entreprises ayant la même activité[4].

Bien que le RGPD semble faire peser des obligations accablantes sur les petites entreprises, il est toujours possible de trouver des alternatives pour atténuer la charge. Ces alternatives ne devraient pas toutefois entraîner la méconnaissance de certaines obligations. Il faut favoriser une approche pragmatique et trouver des solutions créatives pour faire respecter le Règlement par son entreprise de la manière la plus adaptée compte tenu de sa taille et de son activité.

[1]Article 37-1 du RGPD.

[2]https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

[3]Lorsqu’au moins deux des neuf critères sont remplis, l’étude d’impact est requise. Dans le cas contraire, il faudra réaliser une analyse de risque : l’étude d’impact sera uniquement requise lorsque le risque est élevé. Voir les lignes directrices du G29 :

https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf

[4]C’est le cas des notaires en France, qui ont décidé d’avoir un seul et même DPO mutualisé.