Adoptée par le parlement européen en avril 2016 et applicable dès le 25 mai 2018, la réglementation GDPR sur la protection des données des citoyens européens par les entreprises de toute taille et dans le monde entier, est un vrai tsunami, capable de couler les plus petites par le seul montant de ses amendes. Le point sur ce danger encore trop méconnu.
GDPR, qu'est-ce que c'est ?
GDPR signifie General Data Protection Regulation. En France, on l'appelle aussi RGPD pour Règlement Général sur la Protection des Données. Cette réglementation, fruit de 4 ans de travaux des instances européennes, impose au monde entier de nouvelles règles drastiques de protection et de confidentialité des données personnelles (celles permettant de les identifier) de tout citoyen européen. Elle concerne donc toutes les organisations et les entreprises, publiques comme privées, TPE et PME incluses. Et elle donne à tout citoyen européen les clefs pour décider de la conservation et de l'usage fait de ses données personnelles, par ces dernières. Elle érige pour ce faire un cadre européen légal et unifié applicable partout dans le monde.
TPE et PME : toutes les procédures doivent être revues et sécurisées
Côté TPE et PME, cela signifie que tout doit être mis en œuvre pour sécuriser les données personnelles des salariés, des clients et des fournisseurs, afin qu'elles ne soient pas dérobées. Si elles le sont, le dirigeant est désormais responsable et doit en informer les personnes concernées sous 72 heures.
La GDPR impose aussi l’obtention de l’autorisation des personnes pour conserver et utiliser leurs données personnelles. Ces mêmes personnes devront ensuite pouvoir accéder à leurs données librement, en s'authentifiant de façon sûre, pour les modifier ou exiger leur suppression. Elles devront aussi être informées clairement sur l'usage fait de leurs données, sur les traitements qui peuvent leur être appliqués, sur leur sécurisation. Et enfin, elles pourront aussi demander la portabilité de leurs données (fiche client, historique des commandes,…) afin de les transmettre à un autre fournisseur, par exemple.
Le danger : 10 millions d'amende à minima
Se mettre en conformité avec la GDPR est un projet lourd, compliqué et chronophage, voir coûteux. Mais bien moins que de ne pas s'y conformer, car les sanctions en cas de manquements répétés aux obligations qu'elle impose sont financières et très dissuasives : de 2 à 4% du chiffre d'affaires mondial de l'entreprise. Elles peuvent même aller plus haut, jusqu’à 10, voire 20 millions d'euros. Dans tous les cas, de quoi vider d'un coup d'un seul la caisse des plus petits.
Pas de petits doigts derrière lequel se cacher...
Migrer vite fait son siège social hors de l'UE ne changera rien. Pas de paradis « île-légal » pour cette GDPR car ce n'est pas la nationalité de la société qui compte ici, mais celle du citoyen concerné.
Tout dirigeant tenté de penser qu'un citoyen isolé ne pourra rien contre sa TPE ou sa PME fait également fausse route, car les instances européennes ont prévu la parade : pour garantir au ressortissant européen le respect de ses nouveaux droits, le législateur a rendu possible des actions collectives via des associations.
… mais une possibilité à court terme de se fondre dans la masse !
Tout au plus, les petites entreprises peuvent espérer passer, pour un temps, entre les mailles du filet. Car à ce jour, selon le baromètre du RGPD, 81% des entreprises ne seront pas en conformité avec la réglementation au 25 mai 2018, date de son application. Les grands sites de e-commerce seront les premiers sur la sellette de la loi, ainsi que tous les opérateurs télécoms et tous les acteurs d'internet qui aujourd'hui commercialisent à-tout-va et en douce les données personnelles de leurs clients. En toute impunité… jusqu’ici !
La bonne idée : Déléguer le souci de la conformité GDPR à un prestataire
Parce qu’il est difficile aujourd’hui pour un dirigeant de TPE ou de PME de mettre sa société en conformité avec la GDPR, la meilleure solution est peut-être de confier les données personnelles qu’elle gère à un prestataire extérieur. Aujourd’hui, les SSII (sociétés de services en informatique) mais aussi les hébergeurs (Orange, SFR Business par exemple), proposent aux TPE et aux PME ce type de prestations.
Et pour les TPE ou PME qui exercent une activité de vente en ligne, une vraie bonne solution consiste à s’abonner à un logiciel de e-commerce (on parle de logiciel en mode SaaS) dont l’éditeur a déjà pris en compte la GDPR. Les meilleurs d’entre eux sont ceux basé sur une technologie appelée Privacy-by-design.
Attention dans les 2 cas de bien vérifier que le prestataire prend à sa charge la responsabilité de la conformité à la GDPR.