RGPD : 3 conseils aux PME pour poursuivre leur mise en conformité

Deux ans après l’entrée en vigueur du Règlement Général pour la Protection des Données (RGPD), la situation n’est pas encore très claire pour nombre de PME et TPE. « Il y a eu une réelle prise de conscience, et la plupart des petites entreprises ont démarré. Mais certaines n’ont pas été assez loin ». C’est le constat de Frédéric Dinon, directeur adjoint du centre de compétences Technobel, qui a aidé Cefora à mettre sur pied une deuxième vague de formations à l’intention des PME. Voici ses conseils pour poursuivre le chemin entamé.

Depuis le 25 mai 2018, le Règlement général sur la protection des données soumet les organisations qui traitent ou conservent des données personnelles à des règles plus strictes. Les grandes entreprises ont nommé un Data Protection Officer pour veiller au grain. Qu’en est-il dans les petites structures ?

Frédéric Dinon : « Certains chefs d’entreprise ont chargé leur informaticien de les mettre en ordre, et s’en sont lavé les mains. Des PME ont créé leur ‘registre des traitements de données’ et se sont arrêtées là. D’autres ont compris l’esprit du RGPD, mais ne savent pas avec certitude si elles sont conformes ou non … »

Conseil n°1 : Suivez l’actualité

« Les dossiers d’information régulièrement publiés sur le net peuvent vous aider à poursuivre votre mise en conformité. Restez vigilants sur la pertinence de l’information : dans ce domaine comme ailleurs, les fake news circulent rapidement. Les sites des autorités restent la référence, et publient régulièrement des mises à jour. Consultez par exemple le site de l’autorité belge de protection des données (APD), mais aussi les dossiers de la CNIL (l’autorité française), généralement très didactiques. »

L’APD détaille par exemple 13 étapes pour vous mettre en conformité. Début 2019, face au nombre de petites structures paralysées par la complexité de la démarche, l’autorité française a produit une version simplifiée : assurer votre conformité en 4 étapes. Elles vous invitent à :

1. recenser tous vos traitements de données à caractère personnel
2. y faire le tri pour vous assurer de ce qui est strictement nécessaire ou non
3. vérifier que vous respectez les droits des personnes vis-à-vis de leurs données personnelles
4. vous assurer que vous les conservez de manière sécurisée

Conseil n°2 : Sensibilisez toute votre équipe

« La conformité au RGPD n’est pas seulement l’affaire du patron ou de l’informaticien. Il faut s’y mettre tous ensemble, sinon ça ne marche pas. Formez toute l’équipe au RGPD et à ce qu’il signifie pour le travail quotidien : les personnes sensibilisées se posent les bonnes questions. Et nommez une personne contact, qui peut répondre ou chercher une réponse aux questions pratiques. »

 

Les entreprises qui forment toute l’équipe et passent en revue leurs processus liés au traitement des données ont parfois de bonnes surprises à la clé. « L’examen des processus peut aider à se forger une meilleure vue des flux d’information, et à les rationaliser. Chez nous par exemple, nous avons découvert que plusieurs personnes encodaient les mêmes informations dans des fichiers différents : c’était une perte de temps et une source d’erreurs potentielles. »

Conseil n°3 : Envisagez la conformité au RGPD comme une démarche continue

« Votre entreprise n’est pas conforme une fois pour toutes. Si vous lancez un nouveau projet ou une nouvelle activité, posez-vous dès le départ la question du traitement des données personnelles. Et prenez au moins une fois par an le temps de mettre à jour votre dossier de conformité et d’améliorer sa maturité – par exemple en précisant certains termes trop génériques, ou en vous intéressant à la durée de conservation de vos données. »

Frédéric Dinon souligne en passant combien le grand public, désormais plus sensibilisé à la protection de ses données personnelles, apprécie la démarche. « Dans cette optique, le RGPD apparaît aussi comme une manière de prendre soin des clients en protégeant leur vie privée. Dans les cabinets médicaux, c’est un aspect qui est intégré depuis longtemps. Mais une personne qui a une carte de fidélité chez un fleuriste apprécie aussi que ses données soient en sécurité. Se mettre en conformité, cela participe aussi à la satisfaction du client. »

Le message de Frédéric Dinon est clair : « se mettre en conformité, ce n’est pas seulement créer un fichier xls pour être paré en cas de contrôle. C’est comprendre l’esprit du RGPD, à tous les niveaux de l’entreprise. Et le faire vivre dans le fonctionnement quotidien et les nouveaux projets. Ce n’est jamais fini ! »

Bio

Frédéric Dinon est expert en RGPD et directeur adjoint de Technobel. Ce centre de compétence spécialisé dans les métiers du numérique propose des formations certifiantes dans les technologies de l’information et de la communication, et contribue à renforcer l’ouverture et les compétences technologiques en Wallonie.