Le RGPD a pour mission la protection des données personnelles. Les PME ou TPE qui ne font pas une mise aux normes des nouvelles obligations du RGPD, seront contraints de payer des amendes allant de 2 à 4% de leur CA.
Sommaire
Que dit la RGPD ?
Le RGPD est un ensemble d’obligations légales pour toutes les entreprises. Ce règlement européen oblige les TPE et PME à mettre en avant une politique de traitement des données personnelles. La démarche de mise en conformité associée aux déclarations de la cnil sera moins lourde. Mais en contrepartie, toute société qui se charge de traitements de données personnelles doit mettre en avant le principe d’accountability : ou l’apport que le niveau de protection des traitements de données est à son maximum.
En ce qui concerne les PME, dont le nombre de salariés ne dépasse pas les 250 personnes, elles ne sont pas obligées de mettre leurs activités de traitement des données dans un registre des traitements. Mais il faut savoir que la protection des données s’applique à tous, c’est juste le niveau de mise en conformité RGPD qui sera différent, dépendamment de la taille d’une entreprise. Les sous-traitants ou les responsables du traitement de vos données s’assureront que vous suivez les règles. Mais que doit faire une PME pour être en conformité avec le traitement des données à caractère personnel ?
- Faire une mise en conformité juridique et contractuelle
- Rassurer les clients sur la protection et la gestion des données
- La mise en place d’une excellente sécurité informatique pour protéger leurs données
- La nomination d’un Data protection Officer
- La gestion d’un plan qui soit conforme aux données.
Quelles sont les étapes importantes de la cybersécurité des PME ?
Toutes les entreprises doivent effectuer des démarches pour se mettre en conformité avec le RGPD. Tout d’abord, il convient de vérifier à quel point l’entreprise est exposée aux risques via une réunion avec les multiples prestataires. On regarde du point de vue juridique, business, organisationnel et sécuritaire.
Ensuite, un état des lieux RGPD devra se faire. Il faut mettre en place une cartographie des traitements, examiner le GAP Analysis et surtout les exigences du RGPD. Une étude des risques sera préférable pour une mise en conformité. Au-delà de cela, il faut effectuer un plan d’action par traitement :
- Revue des contrats de travail et des mentions légales ;
- Nouveaux droits et sécurité informatiques ;
- Nomination du DPO pour une bonne gouvernance du RGPD ;
- Actions envers les cabinets comptables ou les éditeurs de logiciels.
Dépendamment de ses contraintes de mobilisation, l’entreprise se doit de suivre les diverses actions de mise en conformité. Il est possible que le délai de mise en œuvre soit plus long que dans une grande société, mais l’important c’est de démontrer au CNIL que des actions soient effectivement lancées.
Comment respecter le droit des personnes ?
Pour faire respecter le droit des personnes, il est indispensable d’informer ces dernières quand la collecte des données personnelle se fait. Il est impératif pour une PME, une TPE ou une entreprise d’exercer leur droit de suppression, de récupération ou de modification des données. Pour une sécurité encore plus accrue, il ne faut pas hésiter à mettre à jour ses logiciels ou d’adopter une politique stricte pour les mots de passe ou l’accès aux informations sensibles.