Tout comme les grandes entreprises, les TPE et les PME sont toutes des entités appelées à manipuler des données personnelles. Cependant, on se demande si elles sont concernées par le respect des obligations qu’impose le Règlement Général sur la Protection des Données. Découvrez ici l’essentiel à savoir sur la mise en conformité RGPD pour les TPE / PME.
L’obligation pour les TPE et les PME de se conformer au RGDP
Le RGDP a pour objectif de réguler le traitement des données personnelles. Il conditionne, à cet effet, la collecte, la conservation ainsi que l’exploitation de ces données. Par conséquent, toutes les entreprises, TPE et PME y compris sont dans l’obligation de s’y conformer. D’ailleurs, il a été émis une date butoir à laquelle toutes les firmes exploitant des données personnelles doivent le faire. Il s’agit du 25 mai 2018, date largement dépassée depuis des années.
Dès lors, les TPE et les PME sont tenues de prouver qu’elles assurent la protection des données en toute conformité à la loi. Peu importe la taille de l’entreprise, sa masse salariale ou encore sa forme juridique. Au cas où une entreprise a recours à des sous-traitants, ces derniers sont également concernés par les obligations émises par le RGDP, et doivent s’y conformer.
Les obligations instaurées par le RGPD
Selon le RGPD, les données personnelles sont des informations pouvant servir à identifier une personne physique de façon directe ou non. En vue de veiller à la non-divulgation de ces données, le RGPD a instauré un certain nombre de principes. Les traitements des données personnelles ne sont permis qu’à six conditions, que le RGPD se charge de vérifier. Au cas où l’étude des informations ne répondrait pas à ses conditions, elle sera considérée comme illicite.
En règle générale, la collecte des données doit être liée le plus possible au résultat final recherché. Les TPE et les PME ont donc le devoir de limiter au maximum les informations collectées. Il leur revient de hiérarchiser les données et d’en choisir les plus importantes. Les entreprises sont tenues pour responsables si les principes imposés par le RGPD ne sont pas respectés.
Depuis la phase de conception d’un produit ou d’un service, les entreprises doivent y inclure la protection des données. Les droits des personnes doivent aussi être respectés. À noter que le RGPD confère aux individus les droits d’accéder, de rectifier ou de récupérer leurs données.
Les étapes de mise en conformité des TPE et PME vis-à-vis du RGPD
Pour se conformer aux différents principes du RGPD, les entreprises qui ne sont toujours pas en règle devront suivre plusieurs étapes :
1ère étape : créer un registre des données
L’entreprise doit apprêter un registre portant sur le traitement des données. Dans ce registre seront détaillées toutes les activités liées à la manipulation des données personnelles collectées. Cela permettra d’avoir un aperçu général sur l’utilisation faite de ces données.
2ème étape : trier les données
L’entreprise doit trier les données. Elle ne doit se limiter qu’à celles dont elle a nécessairement besoin. Les données collectées doivent avoir un lien avec la finalité du traitement. On note que par finalité du traitement, on entend objectif visé ayant poussé à la collecte ou à l’exploitation des données.
3ème étape : sécuriser les données
La sécurisation des données à travers la mise en place de méthodes appropriées. Le respect de cette étape sous-entend que seules les personnes qui y sont autorisées accéderont aux données. De même, les données doivent être maintenues telles que collectées. Enfin, les personnes autorisées à accéder à ces données doivent pouvoir le faire à n’importe quel moment.
Suite au suivi de ce cheminement, l’entreprise est considérée comme conforme aux normes du RGDP. En cas de violation de ces normes, des sanctions assez lourdes peuvent s’ensuivre. Les sanctions applicables peuvent varier d’une amende raisonnable à une autre de plusieurs millions d’euros.
