Webmaster & Référencement

Non classé

RGPD petites entreprises : le schéma RGPD adapté pour les PME et TPE

MT : RGPD petites entreprises : quelles solutions pour une mise en conformité

MD : RGPD petites entreprises : quelles sont les modalités RGPD pour une protection des données optimales au sein des PME et TPE.

Les termes barbares de RGPD, pour Règlement Général sur la Protection des Données, cachent des lois qui visent un meilleur encadrement de l’exploitation des données à caractère personnel. Ce que la Commission nationale de l’Informatique et des Libertés (CNIL) entend par « données personnelles » doit être pris au sens large du terme. En effet, il recouvre l’ensemble des informations relatives à l’identification directe d’une personne (nom et prénom, adresse, numéro de téléphone, etc.), ou encore l’identification indirecte de celle-ci par croisement de données (géolocalisation, habitudes d’achats, etc.).

Sont concernés par cette mise en conformité RGPD toutes les entreprises présentes sur le territoire des Etats membres, et ce, quel que soit leur secteur d’activité. Les TPE ainsi que les PME ne dérobent pas à cette règle relative à la protection des données. Focus sur le schéma RGPD petites entreprises.

Programme de mise en conformité RGPD petites entreprises

Pour pouvoir ressortir un programme de mise en conformité RGPD petites entreprises qui prennent en compte la taille et les ressources des TPE/PME, les RGPD petites entreprises pourront prévoir une ou deux journées d’audits pour les quelques services concernés par la feuille de route de la CNIL.

Au lieu de se livrer dans des livrables à plusieurs pages (dont les politiques et les procédures imposés ne seront pas lus par les quelques salariés), il sera préférable pour les petites entreprises de privilégier une seule politique générale. Cette dernière devra énoncer les règles standard de la protection des données à caractère personnel (RGPD petites entreprises à faire respecter en interne). Elle peut également inclure plusieurs parties qui feront l’objet de politique à part entière chez les entreprises (l’exemple notamment des traitements des données sensibles, Privacy Design, transferts hors UE, etc).

Solutions RGPD petites entreprises

En ce qui concerne les sujets rgpd et les petites entreprises particulièrement techniques qui demandent plus d’attention, il sera tout de même possible de les traiter sans pour autant engager une grande part de budget. Prenons l’exemple des durées de conservation des données à caractère personnel, un simple référentiel peut remplacer efficacement la procédure sur la suppression des données. Cette procédure détaille de plus les durées légales à respecter (selon les finalités).

Pour le cas de la gestion des droits des personnes, les GE disposent d’une procédure dédiée à cet effet ; à chaque droit correspond un schéma spécifique à suivre. Pour les cas des TPE et PME, il sera question de condenser le tout en un seul schéma. Une procédure de 2 à 3 pages devrait permettre d’apporter plus d’explication sur les différents droits, les délais de réponses ainsi que les éléments à vérifier (pièces d’identité de la personne concernée).

Bien qu’une TPE/PME ne soit pas à même de mettre en place une cellule de crise pour la gestion de violations de données, un tel incident devrait pouvoir s’identifier facilement. La tâche de notifier celui-ci à l’autorité de contrôle revient au prestataire IT.

Et enfin, pour ce qui est de l’étude d’impact sur la vie privée (obligation RGPD assez lourdes à mettre en œuvre), la solution la plus simple serait de mettre à profit l’outil RGPD petites entreprises mis à disposition par la CNIL. Cet outil se charge de réaliser les études d’impact.

Désignation d’un DPO

Lorsqu’une petite entreprise se retrouve dans l’un des trois cas de désignation obligatoire, elle ne peut échapper à la désignation d’un DPO. Cependant, envisager des solutions moins onéreuses que le recrutement d’un DPO à temps plein reste une possibilité. Quelques exemples pertinents pour le cas d’un RGPD petites entreprises :

  • confier la tâche de DPO en interne, à condition toutefois qu’elle ne soit pas en conflit d’intérêts avec le poste de la personne
  • recourir à l’externalisation (possibilité de disposer d’un DPO sous-traitant à temps partiel)
  • mutualiser un DPO avec des entreprises dans le même secteur d’activité.

Dans tous les cas, il sera question de favoriser l’approche la plus pragmatique. L’objectif restera la mise en application du nouveau règlement européen de la manière la plus adapté à la taille, l’activité et le compte de l’entreprise.