Être conforme au RGPD : une contrainte et un atout pour développer son activité
Le RGPD, c’est quoi ?
Le RGPD est l’acronyme de Règlement Général sur la Protection des Données. Il s’agit d’un texte européen qui vise à renforcer les droits des personnes concernant le traitement de leurs données personnelles par les organismes publics et privés afin de protéger la vie privée des citoyens européens et de leur donner plus de contrôle sur leurs données personnelles.
Entré en vigueur le 25 mai 2018, il impose aux organismes de respecter des principes et des obligations, tels que
- le consentement des utilisateurs ;
- la transparence ;
- la sécurité ;
- ou encore, dans certains cas, la désignation d’un délégué à la protection des données.
Ces obligations sont souvent mal vécues par les entreprises. Ainsi, selon une étude réalisée par le cabinet KPMG en 2021, les deux tiers des entreprises, estiment que le frein principal à la mise en œuvre du RGPD est la charge de travail liée aux actions à mener.
Quels sont les risques de ne pas respecter le RGPD ?
Ne pas respecter le RGPD, c’est exposer son entreprise à des risques bien réels, même quand on est une TPE-PME.
C’est un risque financier lié aux amendes que peut infliger la Commission nationale de l’informatique et des libertés (CNIL) en cas de manquement. La CNIL a intensifié ses contrôles en 2022 et a récemment démontré qu’elle n’épargne pas les TPE-PME. Ainsi, deux médecins libéraux ont récemment été sanctionnés (6 000 € pour l’un, de 3 000 € pour l’autre) pour avoir laissé librement accessibles sur Internet des milliers d’images médicales hébergées sur leurs serveurs.
Cela devient aussi un risque commercial. Une entreprise spécialisée dans la fabrication et la vente de matériaux agricoles a été condamnée pour non-conformité au RGPD : le Tribunal a estimé que l’absence de page dédiée à la politique de confidentialité sur son site e-commerce et de mentions légales constituait un acte de concurrence déloyale. Et un opticien a ainsi obtenu la nullité du contrat qui le liait avec l’agence web qui travaillait pour lui en invoquant le non-respect du RGPD.
Le RGPD offre aussi des opportunités pour l’entreprise
Au-delà de ces risques, ne pas respecter le RGPD, c’est aussi passer à côté d’opportunités pour développer votre chiffre d’affaires. Le RGPD n’est pas qu’une charge qui consiste à cocher des cases pour être conforme à la réglementation.
C’est un atout pour développer votre activité. La CNIL en fait d’ailleurs un des axes de son plan stratégique 2022-2024 : faire du RGPD un atout pour l’image ou la compétitivité de l’entreprise.
C’est ce que nous allons vous montrer au travers d’exemples concrets, en fonction de votre situation.
Quelles sont les opportunités offertes par le RGPD pour développer son entreprise ?
Que vos clients soient des particuliers (B2C) ou des professionnels (B2B), votre projet de mise en conformité RGPD peut devenir un élément clé de différenciation. Voici quelques exemples pour découvrir comment en tirer parti.
Les clients de votre TPE / PME sont des particuliers ?
Selon le baromètre Data Privacy Day 2023, près de 9 Français sur 10 souhaiteraient mieux comprendre et mettre en place des solutions pour protéger leurs données personnelles sur Internet. Ainsi, placer la protection des données personnelles au cœur de votre culture d’entreprise vous permet de répondre à leurs attentes.
Une démarche de protection de la vie privée dès la conception (en anglais « Privacy by Design”) permet de concevoir un produit ou un service qui soit respectueux des données personnelles dès sa conception. Cela implique de prévoir une manière de collecter le moins de données personnelles possible (en application du principe de minimisation des données collectées défini par l’article 5 du RGPD).
Le bon réflexe est de se demander ce qui est pertinent et nécessaire au regard de l’objectif poursuivi.
Par exemple, lorsqu’une personne crée son compte, ne collectez que les informations dont vous avez réellement besoin. Pour un site e-commerce, l’identité, les coordonnées et l’adresse postale sont nécessaires. Sa date de naissance et sa situation maritale surement moins. Supprimer ces champs permet de minimiser la collecte de données personnelles, et ce, dès la conception.
Jetez un œil à la politique de confidentialité mise en place par cet entrepreneur. Il a choisi de faire de la confidentialité de ses clients sa priorité.
Les clients de votre TPE / PME sont des professionnels ?
Les grands groupes s’efforcent d’être en conformité avec le RGPD pour éviter les sanctions financières de la CNIL pouvant aller jusqu’à 4% du leur chiffre d’affaires mondial. L’explosion des cyberattaques renforce ce besoin de protection des données. Car une violation des données personnelles (divulgation, piratage etc.) peut porter un coup sévère à la réputation des grands groupes. Cette pression se répercute sur leurs fournisseurs.
Si vous travaillez avec des grands comptes ou souhaitez le faire, vous êtes de plus en plus confrontés à des audits complets de leur part avant la conclusion d’un contrat. Ils vous demandent d’être en capacité d’apporter les preuves de votre sérieux en matière de protection des données personnelles et de cybersécurité. Cela devient un prérequis systématique au début d’une nouvelle relation commerciale. Être prêt à fournir l’ensemble de la documentation en matière de conformité devient ainsi un atout concurrentiel majeur pour décrocher de nouveaux contrats.
Votre TPE / PME a des difficultés à recruter ?
La crise sanitaire a renforcé la quête de sens des candidats. Ils sont de plus en plus sensibles à la marque employeur, aux valeurs prônées par l’entreprise, à la politique RSE (Responsabilité Sociétale des Entreprises).
Des données personnelles sont collectées lors du processus de recrutement. Avec la numérisation croissante de ce processus, il faut redoubler de vigilance quant à la protection des données collectées. C’est un moyen de créer un climat de confiance et valoriser votre engagement auprès de vos futurs salariés.
En informant les candidats du soin que vous prenez à respecter le RGPD, vous renvoyez l’image d’une entreprise sérieuse et responsable. Cela contribue à créer une marque employeur attractive !
La CNIL répond d’ailleurs aux questions incontournables à se poser sur le recrutement et les données personnelles dans les TPE-PME.
Quelles sont les questions à se poser pour réaliser sa mise en conformité RGPD ?
Comment faire concrètement pour se mettre en conformité au RGPD quand on est une TPE-PME et profiter des bénéfices qui viennent d’être cités dans le précédent paragraphe ? Voici un aperçu rapide des questions essentielles à se poser pour construire un programme de conformité adapté à votre situation.
Quels outils stockent des données personnelles ?
Faites la liste des outils que vous utilisez et des données que vous y enregistrez. Par exemple, si vous envoyez une newsletter à vos clients, vous stockez et traitez potentiellement les données suivantes : nom, prénom, numéro de téléphone, numéro client, date de naissance, etc.
Attention : quand vous utilisez une solution numérique américaine – dans notre exemple de newsletter – le risque qu’il ne soit pas conforme au RGPD est élevé.
Quels types de données je trouve dans ces outils ?
L’article 4 du RGPD rappelle que les données à caractère personnel sont toutes les informations se rapportant à une personne physique identifiée ou identifiable directement (exemple : nom et prénom) ou indirectement (exemple : le numéro de sécurité sociale, une adresse e-mail, l’enregistrement de conversations, adresse IP).
Même si les données se rapportant à une personne morale sont exclues, il ne faut pas oublier que derrière une entreprise se cache toujours une personne physique ! La donnée personnelle est alors relative à l’email professionnel et l’identité de la personne physique qui représente l’entreprise.
Est-ce que j’ai vraiment besoin de collecter ces données personnelles ?
Dans certains cas, la loi vous oblige à détenir certaines informations (exemple : éditer les bulletins de salaire de vos salariés) ou un contrat (exemple : émettre les factures de vos fournisseurs ou clients).
Dans les autres cas, ne demandez à vos clients et partenaires que ce qui est nécessaire à votre activité ! Réfléchissez bien en amont aux données dont vous avez vraiment besoin. Comme évoqué précédemment, le principe de minimisation exige de ne collecter que les informations indispensables à l’activité de votre entreprise. Autrement dit, moins vous collectez de données personnelles, plus vous êtes conformes.
Collecter des informations personnelles dont vous n’êtes pas capable de démontrer l’utilité pour votre activité vous expose à des sanctions. Par exemple, lorsqu’une personne souhaite s’inscrire à votre newsletter, vous n’avez besoin que de son identité et son e-mail. À l’inverse, il convient de s’interroger sur la pertinence de demander la date de naissance de la personne ou son poste.
Les questions suivantes permettent d’identifier les données personnelles de votre entreprise et surtout de minimiser les données personnelles à collecter et traiter :
- Qu’est-ce que je vais faire de ces données ?
- Pour quoi je les utilise ?
- Pendant combien de temps je les conserve ?
- Comment sont-elles sécurisées ? Qui y a accès ?
Les réponses à ces questions vont vous aider à construire votre registre des traitements de données personnelles. Ce document est obligatoire. Prévu à l’article 30 du RGPD, il constitue un outil de pilotage et de démonstration de votre conformité au RGPD. Votre entreprise doit déclarer dans ce document la manière dont elle utilise les données personnelles. Pour chaque utilisation des données (ou traitement), vous devez pouvoir renseigner les éléments suivants :
- les catégories de données personnelles concernées (par exemple, l’identité, les coordonnées, les échanges)
- les catégories de personnes concernées (clients, prospects, employés, candidats etc.)
- la base légale. Il s’agit du fondement juridique autorisant votre entreprise à collecter les informations (par exemple le consentement de la personne, en vertu d’un contrat avec un client ou en vertu de la loi).
- la finalité, c’est-à-dire l’objectif pour lequel votre entreprise collecte et utilise ces informations.
- la durée de conservation, c’est-à-dire une estimation du temps du moment où votre entreprise compte supprimer les données.
- les personnes ayant accès aux informations, c’est-à-dire à la fois les personnes (ou services) au sein de votre entreprise mais à la fois les outils utilisés pour gérer ces données : le service de messagerie, la solution de stockage utilisée, les bases de données internes, les solutions tierces (par exemple les outils Saas), etc.
.
