PME, TPE, startups : comment apprivoiser le RGPD ?

RGPD données personnelles
iStock
PROPOSÉ PAR
i-Lab & Nous - Actualités et analyses
Les entreprises en avaient bien besoin. D'après les différentes estimations des cabinets de conseils, l'immense majorité des sociétés françaises (entre 50% et 70%) n'ont même pas commencé à s'en préoccuper, et moins de 20% seront prêtes le 25 mai prochain, lors de l'entrée en vigueur du Règlement européen sur la protection des données personnelles (RGPD). Le texte, voté en 2016 par Bruxelles, impose à toutes les entreprises qui traitent des données personnelles (startups, TPE, PME, ETI, grands groupes) une série d'obligations concernant le traitement et l'exploitation des données personnelles de leurs clients et salariés. Avec la révolution numérique, quasiment tout le monde est donc concerné, d'une TPE dans le bâtiment avec ses fichiers clients à la multinationale.
Mais si les grands groupes disposent des moyens financiers et humains conséquents pour la mise en conformité, ce n'est pas forcément le cas pour les PME et les TPE, qui pèsent pourtant la quasi-totalité des 4 millions d'entreprises actives en France. Pour les aider, la Commission nationale informatique et liberté (Cnil) et Bpifrance ont présenté mardi en présence du secrétaire d'Etat au Numérique Mounir Mahjoubi, un guide pratique expliquant aux PME comment appliquer au mieux les dispositions du règlement.
Ce guide, qui se veut clair et pédagogique, doit aider les plus petites entreprises à comprendre ce qu'est le RGPD, en quoi il leur est utile, et comment intégrer à leur fonctionnement les dispositions du texte. Il les aide par exemple à construire leur registre de données, à les sécuriser, explique l'importante de notions comme le triage des données et le consentement explicite des clients ou fournisseurs concernés.
De son côté, Isabelle Falque-Pierrotin a insisté sur la nécessité de changer de discours vis-à-vis de la régulation, et minimisé les contraintes imposées par le RGPD pour les PME/TPE:
Il est exact que le RGPD représente surtout un effort de "toilettage" pour les entreprises qui respectent déjà les précédentes réglementations comme la loi Informatique et Libertés de 1978 et la directive européenne de 1995 révisée en 2004.
Problème : en réalité, beaucoup s'arrachent les cheveux devant la complexité du chantier. Il faut dire qu'avant le RGPD, la réglementation n'était pas assez contraignante pour pousser la plupart des entreprises à la respecter à la lettre. Désormais, en plus des principes et droits nouveaux, les régulateurs pourront infliger des amendes s'élevant jusqu'à 4% du chiffre d'affaires mondial d'une entreprise.
Chaque jour à 13h, l’essentiel de l’actualité tech.

De quoi créer une panique à bord chez de nombreuses entreprises, même si Isabelle Falque-Pierrotin admet que les moyens dédiés à l'action de contrôle et de sanction restent largement insuffisants pour garantir la stricte application du règlement par toutes les entreprises concernées. Pour Nicolas Dufourcq, le directeur de Bpifrance, le déclic se fait toujours attendre dans de nombreuses entreprises :
Si peu d'entreprises sont aujourd'hui en situation de conformité en France, celles qui ont commencé à travailler sur la question depuis plusieurs mois en voient déjà les bénéfices. C'est le cas de Huckink, TPE de 7 employés filiale de la PME Welljob, spécialisée dans l'installation de bornes de recherche d'emploi dans les lieux de passage. Nathalie Daoud, la directrice du développement de Huclink, estime que la mise en conformité a permis à son entreprise, qui fonctionne avec de nombreuses agences partenaires, d'améliorer considérablement ses process:
Malgré les difficultés, l'éditeur de logiciels américains Pros (1.300 salariés dont une centaine en France), qui commercialise des solutions de "pricing" [fixation de prix] et de devis pour les entreprises dans le monde entier, a fini aussi par trouver comment tirer parti du RGPD:
Idem pour Nicolas Berbigier, le Pdg et cofondateur de la startup Famoco (120 salariés), qui commercialise des solutions NFC.
À lire également
Pour la Cnil, l'important est surtout que les entreprises commencent leur mise en conformité. "Le régulateur n'est pas là pour sanctionner mais pour aider toutes les entreprises à s'élever au standard européen qui deviendra bientôt mondial sur les données personnelles", ajoute Isabelle Falque-Pierrotin. Qui promet que la Cnil "ne va pas fondre sur les entreprises pour les sanctionner", mais tiendra compte d'une "courbe d'apprentissage"... du moment qu'un effort est réalisé.