CONFORMITÉ DES TPE ET DES PME AU RGPD

Les TPE et les PME sont particulièrement exposées aux enjeux de mise en conformité au RGPD. Elles doivent pouvoir utiliser l'avantage concurrentiel d'une conformité au RGPD et maîtriser les risques d'une non conformité.

DÉPLOYER LA CONFORMITÉ EN MODE AGILE

L'enjeu pour les TPE/PME traditionnelles ou les Startups consiste à implémenter le RGPD en mode agile, comme facteur de compétitivité

  • Recensement des traitements de données à caractère personnel

Les traitements des TPE/PME varient en fonction de l'activité : gestion du personnel/paye, recrutement, formation, accès aux locaux, vidéo-protection et vidéo-surveillance, gestion des clients prospects, (E-commerce, cookies ...) outils informatiques et objets connectés (géolocalisation ...) etc. Certains traitmeents sont plus sensibles que d'autres.

  • Validation de la légalité RGPD, PIA 

Les critères de légalité doivent être vérifiés pour l'ensemble des traitements : finalités et objectifs, proportionnalité, durées de conservations, destinataires des données, sensibilité (Profilage, lutte contre la fraude ...)  etc. Cette validation s'applique aussi aux traitements réalisés pour le compte de tiers, une analyse de risques (AIPD) peut être nécessaire.

  • Validation des contrats  

Une revue des contrats passés avec les clients, les prestataires et les partenaires doit être effectuée afin de valider les responsabilités de chaque intervenant comme l'exige le RGPD. Les contrats de sous-traitance sont particulièrement importants pour l'autorité de contrôle.

  • Validation des mesures de transparence

L'information des personnes est l'une des priorité du RGPD, de même que la prise en compte des différents droits reconnus aux collaborateurs et aux clients. Les mentions d'information et les processus internes doivent s'adapter en conséquence pour maîtriser le risque de contentieux.

  • Adoption des mesures de sécurité informatique, violations de données

A l'aune du cyber-risque les exigences de sécurité du RGPD prennent une importance cruciale qui nécessite de comprendre la portée précise des obligations pour adopter les bonnes mesures. Il s'agit d'un sujet complexe qui dépend notamment des technologies utilisées et de l'organisation adoptée.

  • Privacy by design, innovation conforme 

Des mesures doivent être prise pour insérer les exigences du RGPD dans la conception et l'utilisation des solutions et outils informatiques. Il s'agit d'un critère de conformité de l'innovation. Le profilant, l'intelligence artificielle, la vidéo-protection, la géolocalisation et les objets connectés sont autant de sujets qui doivent s'anticiper. Cet enjeu est particulièrement important pour les startups comme le démontrent les amendes prononcées par la CNIL

LES POINTS A RETENIR :

Il convient de mesurer la portée et les sous-jascents des mesures à adopter par les TPE/PME, afin de déployer le RGPD en mode agile,

  • La réalisation d'une registre des traitements n'est pas obligatoire en fonction de certains seuils liés aux TPE/PME, la réalisation d'un registre simplifié est toutefois fortement recommandée afin de piloter la conformité

  • Les TPE/PME ne sont pas à l'abri de procédures de vérification de la conformité et le cas échéant d'amendes de l'autorité de contrôle 

  • Les petites et moyennes entreprises doivent veiller à réaliser les analyses de risques (AIPD), notamment en cas d'innovation

  • Les TPE/PME doivent développer une culture RGPD à minima permettant de disposer d'atouts en cas de changements d'échelle de l'activité, une première feuille de route RGPD peut y contribuer

  • La désignation d'un délégué à la protection des données en interne ou au travers d'une prestation externe permet d'envisager sereinement une conformité simplifiée des TPE/PME au RGPD

+33 1 85 09 72 54

122 avenue des Champs Elysées 75008 Paris