Trois mois : tel est le délai restant avant l'entrée en vigueur du Règlement sur la Protection des Données (RGPD) dans l'UE. Ce règlement s'inscrit dans le prolongement de la législation sur l'utilisation des données personnelles par les organisations - un pas en avant important pour la protection du citoyen face aux abus liés à la vie privée. Mais les entreprises y trouveront également un intérêt.

Partager

'Les PME ont encore 3 mois pour remettre leur copie'

Pour la PME, le RGPD constitue une occasion idéale de revoir son fonctionnement interne et de remettre à plat certaines pratiques, tant au niveau de l'IT (par ex. les données stockées de longue date dans des tableurs Excel ou sur des disques externes) que des processus non productifs (notamment les données d'une même personne collectées plusieurs fois).

Pourtant, nombre de PME ne paraissent pas s'intéresser au RGPD. Brunel et IFORI constatent que beaucoup d'entreprises semblent penser que la nouvelle réglementation ne les concerne pas. Pourtant, si les entreprises du secteur B-to-B ne travaillent pas directement avec des consommateurs, elles collectent des données sur leurs collaborateurs et leurs partenaires commerciaux. Bref, toute entreprise qui traite des données en marketing, vente, recrutement et gestion du personnel est impactée.

En l'occurrence, les 'devices' sont souvent un point sensible. Un smartphone ou un laptop volé à un employé représente une fuite potentielle de données. Et pour toute fuite, il sera obligatoire, d'ici le 25 mai et même pour une petite entreprise, de mettre en place une procédure.

Pas de quoi paniquer pourtant : la force d'une PME réside précisément dans sa capacité à prendre des décisions rapides. Il lui reste 4 mois pour se mettre en règle, ou tout au moins prouver de manière convaincante qu'elle a commencé à s'y intéresser. Au sein des PME - contrairement aux multinationales -, les changements s'opèrent souvent bien : pas besoin de gestion du changement interminable.

Les adaptations exigées concernent tant le juridique que l'IT. Compte tenu de la complexité du volet juridique, il est raisonnable de se tourner vers des juristes spécialisés en droit de l'informatique afin de vérifier si le RGPD s'applique à l'entreprise en procédant préalablement à un audit.

L'implémentation des adaptations sera en revanche de la responsabilité des informaticiens, par exemple en sécurisant le matériel des collaborateurs (laptops, smartphones, tablettes, etc.). Si votre entreprise traite intensément des données personnelles, vous pourrez choisir de désigner un délégué à la protection des données (DPO) - il s'agit là dans certains cas d'une obligation (notamment pour les administrations publiques).

Satisfaire au RGPD implique certes des efforts spécifiques, mais offre également certains avantages. La loi est sans équivoque : elle règlemente le traitement des données personnelles de manière identique dans l'ensemble des 28 Etats-membres. Les zones grises juridiques disparaissent, ce qui signifie que les entreprises qui respectent la nouvelle législation sont mieux protégées contre les plaintes et les actions en justice.

Du coup, les PME sont également mieux armées face aux scandales liés à la vie privée - une problématique qui suscite toujours plus d'attention de la part du grand public. Un procès peut se gagner, mais une atteinte à la réputation est souvent irréversible.

CEO du bureau de sourcing de projets Brunel en Belgique. Brunel a noué un partenariat avec IFORI, un cabinet de niche juridique spécialisé en droit de l'IT.