CONFORMITÉ DES TPE ET DES PME AU RGPD

Les TPE et les PME sont particulièrement exposées aux enjeux de mise en conformité au RGPD. Elles doivent pouvoir utiliser l'avantage concurrentiel d'une conformité au RGPD et maîtriser les risques d'une non conformité.

DÉPLOYER LA CONFORMITÉ EN MODE AGILE

Besoin d'aide 

L'enjeu pour les TPE/PME traditionnelles ou les Startups consiste à implémenter le RGPD en mode agile, comme facteur de compétitivité. Ces entreprises, le plus souvent innovantes et agiles, n'échappent ps à l'enjeu de l'établissement d'un programme de conformité sur mesure.

  • Recensement des traitements de données à caractère personnel

Les traitements des TPE/PME varient en fonction de l'activité : gestion du personnel/paye, recrutement, formation, accès aux locaux, vidéo-protection et vidéo-surveillance, gestion des clients prospects, (E-commerce, cookies ...) outils informatiques et objets connectés (géolocalisation ...) etc. Certains traitmeents sont plus sensibles que d'autres. L'accès facile à de nouvelles technologies, telles que notamment des systèmes clés en main et des algorithmes ou autres solutions d'intelligence artificielle, expose désormais  les structures de petites tailles  à des enjeux proches de ceux des grandes entreprise.

  • Validation de la légalité RGPD, PIA 

Les critères de légalité doivent être vérifiés pour l'ensemble des traitements : finalités et objectifs, proportionnalité, durées de conservations, destinataires des données, sensibilité (Profilage, lutte contre la fraude ...)  etc. Cette validation s'applique aussi aux traitements réalisés pour le compte de tiers, une analyse de risques (AIPD) peut être nécessaire. Le PIA contribue à structurer la conformité des traitements de données présentant un caractère sensible au regard des critères du RGPD.

  • Validation des contrats  

Une revue des contrats passés avec les clients, les prestataires et les partenaires doit être effectuée afin de valider les responsabilités de chaque intervenant comme l'exige le RGPD. Les contrats de sous-traitance sont particulièrement importants pour l'autorité de contrôle. Cette revue constitue l'un des points clés d'un programme de conformité au RGPD, les entreprises de toutes tailles ayant de plus en plus recours à une externalisation des prestations pour les traitements les plus courants comme les plus stratégiques. 

  • Validation des mesures de transparence

L'information des personnes est l'une des priorité du RGPD, de même que la prise en compte des différents droits reconnus aux collaborateurs et aux clients. Les mentions d'information et les processus internes doivent s'adapter en conséquence pour maîtriser le risque de contentieux. Le déploiement de l'exigence de transparence constitue l'un des Quick win à implémenter autour d'un programme de conformité.

  • Adoption des mesures de sécurité informatique, violations de données

A l'aune du cyber-risque les exigences de sécurité du RGPD prennent une importance cruciale qui nécessite de comprendre la portée précise des obligations pour adopter les bonnes mesures. Il s'agit d'un sujet complexe qui dépend notamment des technologies utilisées et de l'organisation adoptée. Face à l'augmentation exponentielle du cyberisque marqué notamment par les ransomware et le zero Risk Day, les mesures de sécurité des traitements et celles liées à la gestion des violations de données constituent l'un des piliers d'un programme de conformité au RGPD.

  • Privacy by design, innovation conforme 

Des mesures doivent être prise pour insérer les exigences du RGPD dans la conception et l'utilisation des solutions et outils informatiques. Il s'agit d'un critère de conformité de l'innovation. Le profilant, l'intelligence artificielle, la vidéo-protection, la géolocalisation et les objets connectés sont autant de sujets qui doivent s'anticiper. Cet enjeu est particulièrement important pour les startups comme le démontrent les amendes prononcées par la CNIL. A ce titre, la multiplication des traitements de données en mode agile, caractérisées notamment par la multiplication des API, nécessite tout particulièrement d'y consacrer une démarche préventive et curative dans un programme de conformité. Il s'agit en particulier de transférer une culture du RGPD aux développeurs.

LES POINTS A RETENIR :

Il convient de mesurer la portée et les sous-jascents des mesures à adopter par les TPE/PME, afin de déployer le RGPD en mode agile,

  • La réalisation d'une registre des traitements n'est pas obligatoire en fonction de certains seuils liés aux TPE/PME, la réalisation d'un registre simplifié est toutefois fortement recommandée afin de piloter la conformité

  • Les TPE/PME ne sont pas à l'abri de procédures de vérification de la conformité et le cas échéant d'amendes de l'autorité de contrôle 

  • Les petites et moyennes entreprises doivent veiller à réaliser les analyses de risques (AIPD), notamment en cas d'innovation

  • Les TPE/PME doivent développer une culture RGPD à minima permettant de disposer d'atouts en cas de changements d'échelle de l'activité, une première feuille de route RGPD peut y contribuer

  • La désignation d'un délégué à la protection des données en interne ou au travers d'une prestation externe permet d'envisager sereinement une conformité simplifiée des TPE/PME au RGPD

NOTRE OFFRE D'ACCOMPAGNEMENT :

Compléter votre outillage RGPD

Le programme de conformité RGPD accountability intégre une check-list des actions pour vérifier l'existence d'une feuille de route cohérence.  Il s'agit d'avancer pas à pas. pour maîtriser le risque de non conformité. L'outillage RGPD s'appuie sur plusieurs Quick-win.

Image de Ferdinand Stöhr

+33 1 85 09 72 54

122 avenue des Champs Elysées 75008 Paris