FacebookX (Twitter)LinkedIn

Le RGPD, un enjeu de confiance et de réputation pour les TPE-PME

La protection des données personnelles est un enjeu majeur pour tous les organismes publics et privés ainsi que toute la population de l’Union Européenne.

L’ensemble des organisations, y compris les TPE/PME, sont tenues d’appliquer scrupuleusement le RGPD – Règlement Général sur la Protection des Données – au risque de s’exposer à des contrôles et de devoir s’acquitter de lourdes amendes.

Pour autant, ces réglementations constituent de réelles opportunités pour les entreprises, tel que le développement de leurs activités numériques au sein de l’UE en se fondant sur la confiance des utilisateurs.

En quoi consiste le RGPD ?

Il vise à garantir aux citoyens une plus grande confidentialité de leurs données personnelles, tout en offrant un cadre juridique unique aux professionnels. Le traitement de ces informations constitue une immense responsabilité et il se doit d’être encadré. Des principes précis sont définis sur la collecte, la consultation, l’utilisation, la minimisation, la modification, la suppression de ces données…

Concrètement, que doivent respecter les entreprises ?

L’application du RGPD ne pourra être conforme sans une adaptation des entreprises. Il leur est demandé une totale transparence sur l’usage des données. Cela signifie que l’information des personnes concernées doit être prévue de manière systématique ainsi que, le cas échéant, leur consentement lorsqu’il est nécessaire. Les entreprises sont aussi tenues de savoir précisément où sont stockées les données personnelles, en privilégiant le territoire de Union Européenne. En cas de violation de ces informations, elles ont un délai de 72 heures pour informer la CNIL ainsi que les personnes concernées dans le cas où cette violation constitue un risque élevé pour la vie privée des personnes concernées. Le dernier point essentiel porte sur la maîtrise totale des données transmises ou revendues à des organisations tierces.

Comment préserver la confidentialité des données ?

Une vigilance absolue doit être exercée sur la sécurité des systèmes d’information. Sans cela, l’entreprise court le risque que les données personnelles soient récupérées par un tiers malveillant et utilisées contre les personnes concernées. Il est essentiel de prendre conscience du risque de cyberattaques et du devoir de protection qu’il en découle. Un audit informatique est donc fortement recommandé.

Dirigeants de TPE/PME, par quoi commencer ?

Il est important de tenir un registre de traitement et d’instaurer une Charte de Protection des Données Personnelles destinée à ses collaborateurs sur la sécurisation de leurs données personnelles. Il s’agit avant tout de recenser les activités de son entreprise : gestion de la paye, recrutement, gestion des accès, formation, activités sociales… Cette Charte a pour objet de les informer sur les moyens internes mis en œuvre pour collecter et protéger leurs informations. Il s’agit d’un excellent moyen de vulgariser et synthétiser le RGPD pour mieux le comprendre et l’appliquer au plus juste avec tous les interlocuteurs au sein de l’entreprise.

En quoi le RGPD peut-il être un avantage pour l’entreprise ?

Protéger les données personnelles des collaborateurs est une première étape dans la conformité des entreprises. Cette démarche doit être étendue aux autres interlocuteurs (clients, prospects, fournisseurs, sous-traitants…) pour renforcer la confiance et valoriser l’image, sérieuse et responsable, de son entreprise. Elle permet aussi d’améliorer son efficacité commerciale, en ayant une gestion rigoureuse et actualisée de ses fichiers. Enfin, respecter le RGPD permet de rassurer ses clients et donneurs d’ordres et ainsi développer son activité commerciale sur des bases solides.
À travers ces éléments, les TPE et PME pourront aborder le sujet du RGPD en toute sérénité.

Source : Entreprendre

2022-04-28T15:09:23+02:0029 avril 2022|Catégories : Conseil, Digital, PME, TPE|Mots-clés : , , , |0 commentaire
Lire la suite

La lente infusion du RGPD dans les PME

Six mois après l’entrée en vigueur du Règlement général sur la protection des données (RGPD), où en sont les PME ? Si le sujet commence à être investi par les entreprises, il faudra encore du temps pour apercevoir une mise en conformité optimale.

Six mois après l’entrée en vigueur du Règlement général sur la protection des données (RGPD), où en sont les PME ? Si le sujet commence à être investi par les entreprises, il faudra encore du temps pour apercevoir une mise en conformité optimale.

Effet de mode, chantier anxiogène ou simple formalité ? Depuis l’instauration du Règlement général sur la protection des données (RGPD) au niveau européen le 25 mai 2018, la mise en conformité dont doivent se saisir les entreprises a suscité de nombreuses interrogations. « C’est un succès au moins médiatique qui incite les entreprises à se saisir des nouvelles obligations, reconnaît Eric Delisle, juriste au service DPO de la CNIL qui intervenait lors d’une table ronde sur un bilan d’étape à six mois du RGPD, mardi 6 novembre à la CCI Paris Ile-de-France. Aujourd’hui, près de 30 000 organismes ont désigné un DPO (délégué aux données personnelles, NDLR) de manière contrainte ou volontaire ».

Un premier signe illustrant, selon la CNIL, la situation dans laquelle sont les entreprises face aux sanctions qu’elles encourent à ne pas se mettre en conformité avec le règlement européen. L’organisme partageait début octobre 2018 que 600 notifications de violations des données avaient été reçues concernant près de 15 millions de personnes. Une première sanction a d’ailleurs été annoncée cette semaine au Portugal à l’encontre d’un centre hospitalier.

Mais bien avant l’annonce de sanctions financières en France, la Commission se veut rassurante : « Avant de sanctionner, il y a de nombreuses étapes préalables pour tendre vers une mise en conformité », rappelle Eric Delisle. Dépassionner le débat et la montagne d’obligations à respecter est semble-t-il nécessaire. « 2019 sera l’année d’une nouvelle vague de mise en conformité, estime Élise Dufour, avocate et présidente de Cyberlex, une association du droit et des nouvelles technologies. Les grandes entreprises demandent aujourd’hui à leurs sous-traitants d’être en conformité, la concurrence aussi permettra de créer un effet vertueux, ça prendra un peu de temps ».

Mobiliser en interne

« Il y a un besoin de dédramatiser les sanctions et convaincre les entreprises que le RGPD est un projet qui ne peut être mené que par l’ensemble des parties prenantes. On est dans une démarche d’amélioration continue de la gestion des données personnelles », juge David Feldman, consultant et fondateur de DFC Partners. « Le sujet est anxiogène mais il est de taille, analyse de son côté Soumia Malinbaum, présidente du comité numérique à la CCI Paris Ile-de-France. Si les grandes entreprises se sont très vite saisies du règlement, les TPE et PME restent en dedans. « Une moitié de petites entreprises a commencé à s’y intéresser, quand l’autre moitié est complètement perdue. »

Les chantiers sont complexes et concernent tous les services, de la relation client aux ressources humaines en passant par les systèmes d’information. Plus que la sensibilisation au RGPD, c’est bien davantage sur la manière de mettre en place les nouvelles obligations que les TPE et PME achoppent. Directeur général délégué de Stora Enso France, filiale française d’un groupe finlandais, Eric Munoz reconnaît que « le RGPD crée des tensions en interne et des résistances avec le DPO ».

Mise en place de nouvelles procédures, engagement des services juridiques et des systèmes d’information ou encore établissement d’un registre, les nouveautés sont exigeantes. « Le premier frein c’est que l’on rajoute aux collaborateurs impliqués une charge de travail monumental à leur mission », retient surtout David Feldman qui conseille de suivre les étapes l’une après l’autre.

Un argument commercial ?

Pour autant, le RGPD n’est pas qu’un chantier ardu, il peut aussi s’avérer comme une chance de se démarquer de ses concurrents. « Le RGPD n’est pas une mode, puisque les données personnelles des consommateurs sont au centre du règlement. C’est une question de sécurité, de confiance et donc un argument commercial à mobiliser », considère Elise Dufour.

Garantir la sécurité des données personnelles serait donc un atout à mobiliser pour attirer les prospects. Le règlement européen offre d’abord la possibilité aux consommateurs de mieux suivre la gestion de ses données personnelles par les organismes publics et privés. « Il y a besoin de rassurer et de placer le consommateur dans une zone de confort et de sécurité, avance Amandine Pepers, juriste-conseil à la CCI Paris Ile-de-France. C’est là-dessus que des entreprises tireront leur épingle du jeu et s’ouvriront vers de nouveaux business ».

Le consultant David Feldman tempère légèrement le débat en considérant que le RGPD a ouvert une longue transition nécessitant que les entreprises se saisissent d’abord de l’intérêt d’être en conformité. « L’argument commercial viendra après », juge-t-il.

Source : Chefdentreprise.com

2018-11-19T12:49:21+01:0019 novembre 2018|Catégories : Digital, ETI, Lois, Marketing, PME, TPE|Mots-clés : , , , |0 commentaire
Lire la suite

Données client : le marketing est à un tournant

Aujourd’hui, 45 % des professionnels du marketing estiment que la connaissance client n’est pas suffisante pour interagir en cohérence sur tous les canaux à disposition.

Des données de commandes (fréquence, préférence, mode d’achat) aux données de contacts, en passant par la géolocalisation ou les interactions sur les réseaux sociaux, il est aujourd’hui aisé d’obtenir les informations les plus variées sur les clients. Les trois quarts des décideurs du marketing, du commerce et de la relation client interrogés par la société d’études Markess déclarent d’ailleurs accorder à la gestion des données clients une place majeure dans leurs stratégies digitales. L’année dernière, 77 % de ces dirigeants indiquaient en outre disposer d’une direction ou d’un service interne chargé de leur analyse ou, à défaut, d’avoir au moins une personne responsable du dossier.

Dans un tel contexte, il n’est pas vraiment surprenant que les intentions d’investissement dans des logiciels permettant l’analyse des données clients doublent entre 2017 (24 %) et 2020 (52 %). Selon les analystes de Markess, cinq grandes typologies de solutions techniques ressortent : l’analyse prédictive et prescriptive, le reporting en temps réel, l’analyse de Big data, les plates-formes de gestion des données (DMP) et l’analyse de données non structurées issues du web. Actuellement, 90 % des décideurs interrogés indiquent recourir à des logiciels spécifiques d’analyse de données clients pour leurs sites web et leurs plates-formes d’e-commerce. Un parti pris qui permet notamment de recourir à des solutions de reciblage (43 %). 74 % d’entre eux estiment que l’intelligence artificielle (IA) sera au coeur de leurs projets d’expérience client en 2020. Autant dire demain.

Des clients plus réticents

Pour l’heure, 45 % de ces professionnels estiment que la connaissance client n’est pas suffisante pour interagir en cohérence sur tous les canaux. « Le plus souvent, l’entreprise dispose de données sur le canal le plus utilisé ou le canal d’origine, ou encore de données limitées ne permettant pas d’avoir une vue d’ensemble du parcours client », explique Markess. Sans parler de la difficile synchronisation des données entre les différents canaux_web, mobile, magasin.

Début de 2018, soit quelques mois avant la mise en place du RGPD, neuf professionnels du marketing, du digital, du commerce et de la relation client sur dix sollicités par Markess, indiquaient constater de nouvelles réticences de la part de leurs clients sur le sujet de leurs données personnelles. La situation doit encourager, outre à la conformité, à la transparence, mais aussi à une collecte limitée aux « données de qualité ». Ce pourrait être là aussi  l’enjeu du marketing digital.

Source : Lesechos.fr

2018-11-19T11:49:51+01:0019 novembre 2018|Catégories : Digital, Marketing, PME, Réseaux sociaux|Mots-clés : , , , |0 commentaire
Lire la suite

RGPD : les entreprises plus ou moins prêtes

Entré en vigueur le 25 mai dernier, le règlement européen de protection des données personnelles est encore mal appréhendé par les entreprises.

Le règlement européen de protection des données personnelles (RGPD) , entré en vigueur le 25 mai dernier, est toujours majoritairement perçu par les entreprises (53 % d’entre elles) comme une contrainte réglementaire . C’est ce que révèle la dernière enquête du cabinet de conseil en management Abington Advisory réalisée auprès de 300 entreprises de secteurs variés.

Entre appréhension et manque d’outils

« Les entreprises perçoivent la mise en conformité RGDP comme un défi difficilement franchissable car elles ne disposent pas d’une parfaite appréhension des tenants et aboutissants de la nouvelle réglementation » indique Vincent Marlard, directeur commercial et cofondateur de K2 France. Moins de la moitié avait compris, fin 2017, que le règlement concerne tous les acteurs, qu’ils soient publics ou privés.

Et 45 % des répondants n’avaient pas encore lancé de plan d’action pour se mettre en conformité. « Il est possible de se mettre en conformité en adoptant une démarche pragmatique. Il s’agit avant tout d’un projet d’entreprise s’appuyant sur la combinaison d’expertises », rappelle Julien Bizjak, directeur associé protection des données et cybersécurité du cabinet de conseil en management Abington Advisory. Une réalité que ne partagent pas les PME-TPE, souvent démunies d’outils. Etablir une cartographie des données est un long processus liant toutes les fonctions. De leur côté, les grandes entreprises préfèrent d’abord se mettre en conformité avec les exigences de la loi Sapin 2 en matière de lutte anti-corruption et de la loi sur le devoir de vigilance . La protection des données personnelles n’est pas une priorité, même si 47 % des répondants reconnaissent que le RGPD est un levier de transformation à saisir.

Un risque financier sous-estimé

Et il est désormais temps de le faire. Même si la CNIL assure qu’elle contrôle d’abord la mise en mouvement de l’entreprise plutôt que la complète conformité au RGPD, les premières sanctions sont tombées. En juin dernier, le régulateur a infligé une amende de 250.000 euros à Optical Center pour une atteinte à la sécurité des données de ses clients.

Et le RGPD prévoit une sanction pouvant aller jusqu’à 4 % du chiffre d’affaires mondial. Le risque financier n’est pas à prendre à la légère. Rappelons aussi que le texte européen prévoit des sanctions non financières allant de l’interruption de traitement à l’effacement des données. Ce que 31 % des entreprises interrogées ignoraient encore.

Source: les echos

2018-07-23T09:13:22+02:0023 juillet 2018|Catégories : Digital, ETI, GE, Lois, PME, TPE|Mots-clés : , , |0 commentaire
Lire la suite

Le RGPD, qui protège nos données et notre vie privée, montre toute l’efficacité de l’Europe envers ses citoyens

C‘était il y a quelques jours, le 25 mai. Vous ne l’avez pas forcément senti, mais un changement fondamental, très attendu, s’est opéré dans notre continent: l’entrée en vigueur du Règlement général de protection des données (RGPD). L’Europe a tant pris ce sujet au ‘sérieux qu’elle a inscrit la protection des données à caractère personnel dans sa Charte des droits fondamentaux de l’Union européenne; et c’est bien sur la base de grands principes qu’elle a choisi de construire ce Règlement: droit à la consultation des données, droit à l’oubli, principe de portabilité de services, condition de consentement libre et informé, interdiction de profilage non déclaré…

Au-delà des grands principes, c’est aussi un règlement qui se veut pragmatique et efficace. À l’heure où les taux d’imposition incroyablement bas des grandes multinationales américaines font scandale, le RGPD prévoit des sanctions très lourdes pour les entreprises contrevenantes. Et pour faire oublier les pesants contrôles a priori qui ont fait le cauchemar de bien des entrepreneurs, le nouveau règlement fait le pari de la confiance en insistant sur un contrôle a posteriori des pratiques des entreprises.

Le RGPD c’est une petite révolution juridique; « un nouveau droit » comme l’ont commenté, à travers le monde, les chargés d’affaires juridiques travaillant dans le domaine des nouvelles technologies; une arme ambitieuse pour protéger les citoyens européens. Sa transposition en droit français a donné lieu à un texte de loi plébiscité sur tous les bancs de l’Assemblée nationale — même les partis réputés anti-européens ne lui ont fait que des reproches mineurs. Est-ce que cela leur a fait mal au coeur de voter un texte européen avec lequel ils étaient d’accord sur le fond?

Finalement, le RGPD est bien là; nous pouvons en être fiers.

Ou peut-être, au contraire, ce texte a plu à tous car il était un excellent exemple de ce que l’Europe peut faire quand elle va à l’encontre de tous les clichés qu’on lui reproche.

On dit que l’Europe nous assomme de règlements inutilement contraignants: mais les scandales de vente de données médicales par des hôpitaux outre-Manche, ou le scandale de Cambridge Analytica outre-Atlantique, ont bien montré qu’il fallait protéger énergiquement nos données personnelles.

On dit que l’Europe est toujours en retard d’un train: mais certains commentateurs américains ont loué la grande avance que l’Europe avait prise en matière réglementaire avec le RGPD.

On dit que l’Europe est lente et paralysée par des débats oiseux: mais il s’est écoulé seulement 6 ans pour que la réflexion aboutisse à une entrée en vigueur — pas si rapide, certes, mais guère plus long qu’un processus législatif national. Rappelons que la Loi pour une République numérique, débattue en France à l’automne 2015, votée en 2016, n’est toujours pas entrée en vigueur à l’heure où j’écris ce texte, du fait des complications administratives… S’il avait fallu attendre que l’ensemble des pays de l’Union européenne se saisisse du sujet des données personnelles à travers des débats nationaux, nous y serions encore dans une décennie, à n’en pas douter!

On dit que l’Europe est technocratique est pas assez à l’écoute, dominée par les jeux politiques des gouvernements: mais le RGPD est né de l’initiative d’un député vert allemand, Jan Philipp Albrecht, et d’un débat collectif où la CNIL française a joué un rôle majeur.

On dit que l’Europe a cessé d’inspirer le monde: mais le Canada, l’un des pays les plus actifs sur les enjeux des technologies numériques, a annoncé son intention de reprendre ce règlement presque tel quel.

Amis lecteurs, la prochaine fois qu’un professeur de sciences politiques vous parlera des difficultés de l’Europe, vous pourrez répondre « Certes… mais il y a au moins un exemple dans lequel l’Europe s’est montrée moderne, efficace, démocratique, protectrice, inspirante, c’est le RGPD. »

Pour autant, bien sûr, il ne faut pas croire que l’affaire est gagnée et que l’on peut se reposer.

D’abord, pour que le RGPD joue son rôle de protection sans brider l’innovation, il faudra être attentif à la jurisprudence et surveiller sa mise en oeuvre! C’est dans le rôle des institutions que de contrôler la loi, être à l’écoute de ses effets, réviser quand il y a besoin. Le droit continuera à évoluer avec les progrès technologiques!

Ensuite, il n’y a pas de contrôle efficace sans expertise théorique et technologique… Si l’Europe ne renforce pas ses compétences numériques de haut niveau, à la fois en ressources humaines et en matériel, elle ne pourra simplement pas faire respecter ses propres lois.

Enfin, cette belle histoire européenne ne doit pas nous faire oublier l’énorme chemin qui reste à faire pour que l’Europe politique remplisse bien sa mission… Et en premier lieu pour que les européens se décident à avancer de concert, tant il est difficile d’y trouver les consensus! Souvent c’est une menace extérieure qui suscite la cohésion; le RGPD n’a pas fait exception. En effet, à un moment où les discussions sur ce texte étaient enlisées, c’est l’affaire Snowden qui a réveillé les volontés et permis de progresser… Une enquête documentaire consacrée à la genèse de ce règlement nous le rappelle crûment: sans l’héroïsme d’Edward Snowden, nous n’aurions probablement jamais voté le RGPD.

Finalement, le RGPD est bien là; nous pouvons en être fiers, et nous rappeler que ce n’est qu’un pas vers notre indispensable souveraineté en matière technologique. Mais l’Europe aussi, c’est ce que nous en ferons !

Source: huffingtonpost

2018-06-04T08:28:45+02:004 juin 2018|Catégories : Digital, Lois|Mots-clés : , , , |0 commentaire
Lire la suite

Le non-respect du RGPD ne donnera pas lieu à des sanctions les premiers mois

Le secrétaire général de la Commission nationale de l’informatique et des libertés livre ses conseils suite à l’entrée en vigueur du RGPD.

Le Règlement européen sur la protection des données personnelles (RGPD) entre en vigueur ce vendredi 25 mai 2018. Que fait la Cnil ?

Jean Lessi, secrétaire général de la Cnil. © CNIL

Jean Lessi. Le RGPD n’est pas un couperet. C’est une journée qui marque un cap mais qui est dans la continuité. La Cnil poursuit donc le travail entrepris depuis plusieurs mois. Cependant, trois événements sont à noter.Tout d’abord, nous intervenons ce 25 mai à Station F car nous avons une stratégie de communication dédiée aux start-up. Notre présidente Isabelle Falque-Pierrotin s’exprime le même jour sur la scène de Viva Technology devant plus de 1 500 personnes. Enfin, le comité européen de la protection des données, dont la Cnil est membre, va siéger pour la première fois. C’est un nouveau réseau de régulateurs européens. Concrètement, nous pourrons désormais être saisis de dossiers transfrontaliers et appliquer des règles de procédures de coopération européenne.

La Cnil peut donc être saisie dès le 25 mai 2018 ?
Nous recevons déjà des dossiers tels que des réclamations et des plaintes, mais sur des problématiques qui existaient avant le RGPD. A partir du 25 mai, nous allons être saisis de dossiers complètement nouveaux comme par exemple les nouvelles études d’impact, les notifications de violation de données ou les projets de code de conduite. Il y a un gros point d’interrogation quant au volume de dossiers que nous allons recevoir, mais je suis certain que nous en aurons.

Allez-vous sanctionner des organisations dès le 26 mai 2018 ?
Il y a des obligations qui existaient avant le 25 mai et qui existeront toujours après, comme la sécurité des données, la proportionnalité… Tout ce qui est dans la continuité de la loi informatique et libertés actuelles ne change pas l’attitude de la Cnil. En revanche, le non-respect des nouveautés apportées par le RGPD ne donnera pas lieu à des sanctions. Nous donnons une priorité à l’accompagnement dans les premiers mois, sauf manquement grave ou mauvaise foi délibérée. Nous attendons des opérateurs qu’ils s’engagent résolument dans la conformité RGPD. Ne pas être prêt à 100% le 25 mai 2018 n’est donc pas grave pour la Cnil.

Comment allez-vous continuer à accompagner les organisations pour être conformes à ce règlement ?
Nous menons trois types d’actions. Tout d’abord, nous continuons à faire de la pédagogie du nouveau cadre juridique, c’est-à-dire faire des fiches concrètes sur les droits, publier des guides sur la sécurité ou encore l’analyse d’impact. Deuxième action : mettre des outils pratiques à disposition des organismes, notamment des TPE-PME. Nous avons récemment sorti avec Bpifrance un guide qui leur est dédié. Ces derniers jours, nous avons également mis en ligne un nouveau modèle de registre de traitements plus didactique et des modèles de mentions d’informations.

« Nous donnons une priorité à l’accompagnement, sauf manquement grave ou mauvaise foi délibérée »

Quand vous collectez des données, vous devez informer les personnes et avec le RGPD il faut les adapter. Par exemple, il y a des modèles pour l’accès aux locaux professionnels, pour la géolocalisation… Nous en ajouterons de nouveaux au fil de l’eau. Les entreprises et administrations doivent ensuite adapter ces modèles à leur situation mais au moins elles ont une base de départ. Enfin, nous allons amplifier la sensibilisation au RGPD dans les différents secteurs d’activité, via des têtes de réseau (syndicats professionnels, associations de collectivités territoriales, confédérations interprofessionnelles…). Cela nous permet de démultiplier le message et de faire remonter les interrogations de leurs adhérents.

Dans quel état d’esprit sont les PME ?
Nous recevons beaucoup de questions de sensibilisation ou de questions pointues et pratiques du type « que dois-je mettre dans mon registre ? » On ressent une méconnaissance du sujet ainsi qu’une inquiétude car les obligations semblent importantes. Il existe une forme de marketing de la peur de certains acteurs autour du RGPD. Les PME doivent se rassurer car notre priorité est pour l’instant de les accompagner dans leurs démarches. Elles ne sont pas seules, leurs réseaux professionnels et interprofessionnels sont mobilisés. Le Medef et la CPME ont également mis des outils à disposition. L’essentiel est de se lancer dans la démarche et de se poser les bonnes questions. Pour les petits acteurs en général, le RGPD n’est pas une montagne. La plupart des mesures ne les concerne pas. Il peut y avoir des obligations très compliquées avec le RGPD mais quand on fait des transferts internationaux, quand on traite des données très sensibles…

Quelle est votre attitude vis-à-vis des grands acteurs du numérique ?
Le RGPD ne change pas l’attention que la Cnil porte à tous les acteurs et notamment les grandes entreprises. Il change en revanche la boîte à outils et le niveau d’actions en le faisant passer au niveau européen. Dans les relations avec les grands acteurs du numérique, européens ou non, le contrôleur européen de la protection des données (CEPD) peut être une crédibilité supplémentaire pour les Cnils européennes et peut aussi donner de la sécurité juridique à ces grands acteurs transnationaux.

Quels conseils pourriez-vous donner aux entreprises qui appréhendent ce texte ?
Saisissez-vous du sujet de manière constructive. Ne voyez pas ça uniquement comme une contrainte. Bien sûr ce sont des exigences, de nouvelles contraintes comme tenir le registre des traitements. Certaines structures doivent même nommer un DPO (data protection officer, ndlr). Mais il faut aussi voir le RGPD comme l’occasion de faire un peu le ménage dans ses données, de s’interroger sur ses pratiques et de faire des progrès, qui, au-delà du droit, sont de plus en plus demandées par les consommateurs. Ceux-ci attendent que leur vie privée soit respectée.

Autre conseil : échangez dans votre secteur d’activité. Les questions que vous vous posez sont celles que se pose votre voisin. Enfin, consultez tous les outils fournis et vous verrez que vous avez déjà une mine d’informations qui répond à beaucoup de besoins avant de demander une prestation de conseils. Enfin, posez-vous régulièrement des questions : est-ce que mes pratiques sont bonnes, est-ce que je peux les améliorer, ai-je vraiment besoin de collecter ces données ? Car le RGPD est vivant. Il ne suffit pas de s’y mettre une fois et de ne plus s’en préoccuper. Il faut être dans une optique de conformité dynamique.

Source: Journaldunet

2018-05-25T10:50:13+02:0025 mai 2018|Catégories : Digital, ETI, GE, Lois, PME, TPE|Mots-clés : , , |0 commentaire
Lire la suite

PME, TPE, startups : comment apprivoiser le RGPD ?

La Commission nationale informatique et libertés (Cnil) et Bpifrance publient mardi 17 avril un guide pratique pour aider les PME et les TPE à apprivoiser le complexe Règlement européen sur la protection des données (RGPD), qui entrera en vigueur le 25 mai. De quoi aider les PME, TPE et startups globalement toujours à la ramasse ?

 Les entreprises en avaient bien besoin. D’après les différentes estimations des cabinets de conseils, l’immense majorité des sociétés françaises (entre 50% et 70%) n’ont même pas commencé à s’en préoccuper, et moins de 20% seront prêtes le 25 mai prochain, lors de l’entrée en vigueur du Règlement européen sur la protection des données personnelles (RGPD). Le texte, voté en 2016 par Bruxelles, impose à toutes les entreprises qui traitent des données personnelles (startups, TPE, PME, ETI, grands groupes) une série d’obligations concernant le traitement et l’exploitation des données personnelles de leurs clients et salariés. Avec la révolution numérique, quasiment tout le monde est donc concerné, d’une TPE dans le bâtiment avec ses fichiers clients à la multinationale.

Mais si les grands groupes disposent des moyens financiers et humains conséquents pour la mise en conformité, ce n’est pas forcément le cas pour les PME et les TPE, qui pèsent pourtant la quasi-totalité des 4 millions d’entreprises actives en France. Pour les aider, la Commission nationale informatique et liberté (Cnil) et Bpifrance ont présenté mardi en présence du secrétaire d’Etat au Numérique Mounir Mahjoubi, un guide pratique expliquant aux PME comment appliquer au mieux les dispositions du règlement.

Vaincre la peur du RGPD

Ce guide, qui se veut clair et pédagogique, doit aider les plus petites entreprises à comprendre ce qu’est le RGPD, en quoi il leur est utile, et comment intégrer à leur fonctionnement les dispositions du texte. Il les aide par exemple à construire leur registre de données, à les sécuriser, explique l’importante de notions comme le triage des données et le consentement explicite des clients ou fournisseurs concernés.

« Les obligations du RGPD sont proportionnelles à la taille des entreprises. Mais les plus petites d’entre elles n’ont pas les moyens de se payer un cabinet de conseil, un juriste ou un avocat. D’où l’importance d’un guide car le RGPD est surtout un espoir de valeur, une opportunité pour les PME/TPE de prendre le virage du numérique via la valorisation de la donnée », a estimé Mounir Mahjoubi.

De son côté, Isabelle Falque-Pierrotin a insisté sur la nécessité de changer de discours vis-à-vis de la régulation, et minimisé les contraintes imposées par le RGPD pour les PME/TPE:

On a voulu endiguer cette vague alarmiste qui dit que le RGPD se fait au détriment des entreprises et en particulier des plus petites. C’est une approche délétère et fausse car le RGPD est facile pour les TPE/PME, il n’y a pas forcément de contraintes nouvelles, ce sont davantage des principes de bon sens« , estime Isabelle Falque-Pierrotin, la présidente de la Cnil.

Il est exact que le RGPD représente surtout un effort de « toilettage » pour les entreprises qui respectent déjà les précédentes réglementations comme la loi Informatique et Libertés de 1978 et la directive européenne de 1995 révisée en 2004.

Problème : en réalité, beaucoup s’arrachent les cheveux devant la complexité du chantier. Il faut dire qu’avant le RGPD, la réglementation n’était pas assez contraignante pour pousser la plupart des entreprises à la respecter à la lettre. Désormais, en plus des principes et droits nouveaux, les régulateurs pourront infliger des amendes s’élevant jusqu’à 4% du chiffre d’affaires mondial d’une entreprise.

De quoi créer une panique à bord chez de nombreuses entreprises, même si Isabelle Falque-Pierrotin admet que les moyens dédiés à l’action de contrôle et de sanction restent largement insuffisants pour garantir la stricte application du règlement par toutes les entreprises concernées. Pour Nicolas Dufourcq, le directeur de Bpifrance, le déclic se fait toujours attendre dans de nombreuses entreprises :

« Il faut prendre conscience que les clients sont prêts à donner beaucoup de données pour être dans une bulle numérique, mais ils demandent en échange un niveau de protection élevé, qu’ils n’avaient pas jusqu’alors », explique-t-il.

Douleur puis enthousiasme chez ceux qui ont franchi le pas

Si peu d’entreprises sont aujourd’hui en situation de conformité en France, celles qui ont commencé à travailler sur la question depuis plusieurs mois en voient déjà les bénéfices. C’est le cas de Huckink, TPE de 7 employés filiale de la PME Welljob, spécialisée dans l’installation de bornes de recherche d’emploi dans les lieux de passage. Nathalie Daoud, la directrice du développement de Huclink, estime que la mise en conformité a permis à son entreprise, qui fonctionne avec de nombreuses agences partenaires, d’améliorer considérablement ses process:

« On ne va pas se mentir, au début on se dit : « encore une contrainte », et il est très difficile de mobiliser des gens en interne pour se saisir du sujet. Puis on a participé à des séminaires sur le RGPD, on a échangé avec d’autres boîtes sur les best practices, on a monté notre propre plan d’action supervisé par un DPO, et cela nous a aidé à comprendre quelles données on utilisait, pourquoi, et à repenser totalement nos process internes », se réjouit-elle.

Malgré les difficultés, l’éditeur de logiciels américains Pros (1.300 salariés dont une centaine en France), qui commercialise des solutions de « pricing » [fixation de prix] et de devis pour les entreprises dans le monde entier, a fini aussi par trouver comment tirer parti du RGPD:

« La mise en conformité est très fastidieuse, car il faut embarquer tous les services en interne malgré la logique des silos. C’est aussi très complexe au niveau légal, car il faut revoir tous les contrats avec les fournisseurs et clients, donc cela demande beaucoup d’interactions qui mettent tout le monde sur les dents. Mais, dans le fond, l’obligation du consentement explicite nous force à faire le tri dans nos bases de données dormantes. Au final, on va perdre en volume mais gagner en qualité. Nos bases seront mieux qualifiées et nous pourrons mieux les valoriser. C’est positif », témoigne Virginie Dupin, vice-présidente du marketing en Europe et au Moyen-Orient.

Idem pour Nicolas Berbigier, le Pdg et cofondateur de la startup Famoco (120 salariés), qui commercialise des solutions NFC.

« Le RGPD nous a forcés à nous remettre à niveau sur la sécurité des données. Comme nous traitons de données sensibles, il a aussi donné un nouvel argument de vente aux commerciaux, qui savent désormais mieux expliquer aux clients comment on traite les données et connaissent donc mieux le produit », explique-t-il.

Pour la Cnil, l’important est surtout que les entreprises commencent leur mise en conformité. « Le régulateur n’est pas là pour sanctionner mais pour aider toutes les entreprises à s’élever au standard européen qui deviendra bientôt mondial sur les données personnelles », ajoute Isabelle Falque-Pierrotin. Qui promet que la Cnil « ne va pas fondre sur les entreprises pour les sanctionner », mais tiendra compte d’une « courbe d’apprentissage »… du moment qu’un effort est réalisé.

Source : Latribune.fr

2018-05-25T10:53:01+02:0017 mai 2018|Catégories : Digital, Lois, Marketing, PME, TPE|Mots-clés : , , , , |0 commentaire
Lire la suite
Aller en haut