Le RGPD en pratique pour les dirigeants de TPE/PME
Grégory Djaouk
J’accompagne et je forme les élus de CSE pour qu’ils mènent à bien leurs missions • Facilitateur de dialogue social • Expert Conseil auprès des acteurs économiques
Un nouveau règlement général sur la protection des données (RGPD) à caractère personnel sera applicable à compter du 25 mai 2018. Quelles sont les conséquences pratiques de ce règlement ?
Êtes-vous concernés ?
L’objectif de ce règlement est principalement de renforcer les droits des personnes physiques dont les données personnelles sont exploitées. Les données traitées sur des sociétés ne sont donc pas concernées par ce règlement (nom commercial, montant du capital…). Toutefois, les données traitées sur des entreprises individuelles (elles se confondent avec la personne physique) sont concernées par le RGPD.
Les pratiques courantes de traitement de données à caractère personnel par les entreprises sont concernées par ce règlement. En effet, au sens de l’article 2 et de l’article 4 du RGPD, les éléments suivants sont concernés :
· Un fichier papier avec des données personnelles constitue un traitement de données.
· Un simple dossier informatique constitue un fichier.
· La simple mise en place d’un fichier (au sens large, un annuaire par exemple) client comportant un nom, prénom… même réservé uniquement à une consultation constitue un traitement de données personnelles et relève du RGPD.
Dès lors toutes les entreprises traitent des données à caractère personnel a minima pour la gestion du personnel (registre du personnel, paie, DSN…) et/ou la gestion des relations clients/fournisseurs (fichier contacts, dossier client…).
Quels sont les risques les plus probables de sanctions à court terme pour les TPE/PME en cas de non-respect du RGPD ?
En pratique, pour la très grande majorité des TPE/PME les risques de sanctions les plus probables sont les suivantes :
· Une personne physique allant rechercher la responsabilité civile de l’entreprise pour non-respect du RGPD (salarié, client…).
· Avertissement ou rappel à l’ordre de la CNIL à la suite d’un contrôle. Notons que la CNIL a indiqué qu’elle serait indulgente sur les premiers temps de mise en œuvre du RGPD.
Quelles sont les premières actions à réaliser a minima pour les TPE/PME ?
Le plus important pour l’entreprise est de démontrer (il faut des preuves écrites) qu’elle est proactive sur la mise en œuvre de mesures pour se conformer au RGPD : revue des contrats de travail et commerciaux, mise en place d’une politique de sécurité informatique…
Nos compétences pluridisciplinaires nous permettent d'être à vos côtés pour mettre en place une solution pragmatique pour répondre à cet enjeu majeur pour les TPE/PME.